SMB Relay Attacks

Anstatt wie bei dem [[LLMNR Poisoning]] die Hashes zu cracken, können diese weitergeleitet werden um Zugriff zu den Maschinen zu erhalten.

[!caution] Anforderungen SMB message Signing darf nicht aktiviert oder erzwungen sein. Die weitergeleiteten Credentials müssen auf dem Ziel lokaler Admin sein

Um zu checken, ob Message Signing benutzt wird kann der folgende Befehl benutzt werden:

nmap --script=smb2-security-mode.nse -Pn -p445 <ip>

In responder /etc/responder/Responder.conf müssen die Optionen HTTP und SMB ausgeschaltet werden, um die Credentials nicht abzufangen, sondern weiterzuleiten. Mit dem Befehl sudo ntlmrelayx.py -tf targets.txt -smb2support des impacket Packets