NTLM reflection
1. 原理:
参考文章:
- NTLM reflection is dead, long live NTLM reflection! – An in-depth
- Tyranid's Lair: Relaying Kerberos Authentication from DCOM OXID Resolving
- 【内网渗透】也聊CVE-2025-33073 NTLM Reflection攻击_smb cve-2025-33073-CSDN博客
- From NTLM relay to Kerberos relay: Everything you need to know – Decoder's Blog
漏洞产生的主要原因是攻击者可以利用特殊的DNS记录,欺骗客户端(如您的电脑)将原本发往远程服务器的NTLM认证请求,误认为是发往本地的认证,从而绕过了针对NTLM中继攻击(NTLM Reflection Attack)的现有安全保护机制
PetitPotam 将 lsass.exe 强制认证到我们的服务器,而 lsass.exe 以 SYSTEM 身份运行。当客户端( lsass.exe )收到 NTLM_CHALLENGE 消息,提示必须执行本地 NTLM 认证时,它会将其 SYSTEM 令牌复制到服务器上下文中。当服务器收到 NTLM_AUTHENTICATE 消息时,它会从上下文对象中检索令牌,并通过 SMB(在我们的案例中,使用远程注册表服务来转储 SAM hive 并攻击机器)进行模拟以执行进一步操作
2. 利用
条件:
- 没有开启SMB签名
- 获取的域用户可以创建DNS记录(默认允许)
localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA