Question

IP 地址为 192.168.56.221 的 DESKTOP01 客户端和 IP 地址为 192.168.56.211 的 WEB01 服务器。 IP 地址为 192.168.56.1 为中间人。攻击场景如下：

使用 impacket 包中的 ntlmrelayx 进行攻击。

python ntlmrelayx.py -t 192.168.56.221

网络流量如下：

绿色的是 DESKTOP01 客户端和攻击者之间的流量，红色是攻击者和 WEB01 服务器之间的流量。 可以清楚地看到 DESKTOP01 和攻击者之间以及攻击者和 WEB01 服务器之间的 3 条 NTLM 消息。

为了理解中继的概念，通过验证当 WEB01 向攻击者发送质询时，攻击者向 DESKTOP01 发送回完全相同的内容。

这是 WEB01 向攻击者发送的 Challenge：

当攻击者收到这个挑战时，它不加任何修改地将其发送到 DESKTOP01。 在上面的过程中，Challenge 值是 b6515172c37197b0 。

然后客户端将使用它的密钥来计算响应，将计算好的响应值连同用户名 (jsnow)、主机名 (DESKTOP01) 一起发送，在这个例子中是一个域用户，因此主机名是本域的域名 (ADSEC)。

得到 Response 的攻击者将完全相同的信息发送到服务器。于是中间人冒充了 DESKTOP01 上的 jsnow ，是 ADSEC 域的域用户，它还发送了客户端计算出来的响应，在这些截图中称为 NTLM 响应。将此响应称为 NTLMv2 Hash 。

从流量上可以看到，攻击者只是在转发数据。 它只是将客户端的信息转发给服务器，反之亦然，只不过最后服务器认为攻击者认证成功，然后攻击者就可以代表 ADSEC\jsnow 在服务器上执行操作。