lsarelayxNTLM 中繼工具

lsarelayx 是系統(tǒng)范圍的 NTLM 中繼工具，旨在將傳入的基于 NTLM 的身份驗(yàn)證中繼到運(yùn)行它的主機(jī)。lsarelayx 將中繼任何傳入的身份驗(yàn)證請(qǐng)求，其中包括 SMB。由于 lsarelayx hook 到現(xiàn)有的應(yīng)用程序身份驗(yàn)證流，該工具還將在中繼完成后嘗試為原始身份驗(yàn)證請(qǐng)求提供服務(wù)。這將防止目標(biāo)應(yīng)用程序/協(xié)議顯示錯(cuò)誤，并為最終用戶針對(duì) lsarelayx 主機(jī)進(jìn)行身份驗(yàn)證正常工作。

特性：

• 在系統(tǒng)范圍內(nèi)中繼 NTLM 連接，包括 SMB、HTTP/HTTPS、LDAP/LDAPS 或任何其他實(shí)現(xiàn) Windows 身份驗(yàn)證 API 的第三方應(yīng)用程序。
• 在可能的情況下，將傳入的 Kerberos 身份驗(yàn)證請(qǐng)求降級(jí)為 NTLM。這將導(dǎo)致傳統(tǒng)上嘗試 Kerberos 身份驗(yàn)證的客戶端回退到 NTLM。
• 為中繼用戶執(zhí)行 LDAP 查詢以獲取組成員資格信息并為原始請(qǐng)求創(chuàng)建正確的身份驗(yàn)證令牌。
• 轉(zhuǎn)儲(chǔ) NetNTLM 消息以進(jìn)行離線破解。
• 支持不中繼且僅轉(zhuǎn)儲(chǔ)捕獲的 NetNTLM 哈希的被動(dòng)模式（在此模式下沒有 Kerberos 降級(jí)）。

lsarelayx 分為三個(gè)部分。在 liblsarelay.dll 中實(shí)現(xiàn)的虛假 LSA 身份驗(yàn)證提供程序、作為控制接口的用戶模式控制臺(tái)應(yīng)用程序和名為 RAW 的新 ntlmrelayx 服務(wù)器模塊。

值得注意的是：liblsarelayx.dll 將在關(guān)鍵的 lsass.exe 進(jìn)程中加載。如果 liblsarelayx.dll 有任何錯(cuò)誤，導(dǎo)致 lsass.exe 崩潰，主機(jī)將在 60s 后重新啟動(dòng)。