NTLM reflection

created: "2025-10-14 10:34"
tags:
  - NTLM
  - reflection
  - CVE-2025-33073
aliases:
  - CVE-2025-33073
Type:
title:
updated: "2025-11-18 00:07"

1. 原理：

参考文章：

NTLM reflection is dead, long live NTLM reflection! – An in-depth
Tyranid's Lair: Relaying Kerberos Authentication from DCOM OXID Resolving
【内网渗透】也聊CVE-2025-33073 NTLM Reflection攻击_smb cve-2025-33073-CSDN博客
From NTLM relay to Kerberos relay: Everything you need to know – Decoder's Blog
漏洞产生的主要原因是攻击者可以利用特殊的DNS记录，欺骗客户端（如您的电脑）将原本发往远程服务器的NTLM认证请求，误认为是发往本地的认证，从而绕过了针对NTLM中继攻击（NTLM Reflection Attack）的现有安全保护机制

PetitPotam 将 lsass.exe 强制认证到我们的服务器，而 lsass.exe 以 SYSTEM 身份运行。当客户端( lsass.exe )收到 NTLM_CHALLENGE 消息，提示必须执行本地 NTLM 认证时，它会将其 SYSTEM 令牌复制到服务器上下文中。当服务器收到 NTLM_AUTHENTICATE 消息时，它会从上下文对象中检索令牌，并通过 SMB（在我们的案例中，使用远程注册表服务来转储 SAM hive 并攻击机器）进行模拟以执行进一步操作

2. 利用

GitHub - mverschu/CVE-2025-33073: PoC Exploit for the NTLM reflection SMB flaw.

条件：

没有开启SMB签名
获取的域用户可以创建DNS记录（默认允许）

localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA