lsarelayx 是系统范围的 NTLM 中继工具,旨在将传入的基于 NTLM 的身份验证中继到运行它的主机。lsarelayx 将中继任何传入的身份验证请求,其中包括 SMB。由于 lsarelayx hook 到现有的应用程序身份验证流,该工具还将在中继完成后尝试为原始身份验证请求提供服务。这将防止目标应用程序/协议显示错误,并为最终用户针对 lsarelayx 主机进行身份验证正常工作。
特性:
- 在系统范围内中继 NTLM 连接,包括 SMB、HTTP/HTTPS、LDAP/LDAPS 或任何其他实现 Windows 身份验证 API 的第三方应用程序。
- 在可能的情况下,将传入的 Kerberos 身份验证请求降级为 NTLM。这将导致传统上尝试 Kerberos 身份验证的客户端回退到 NTLM。
- 为中继用户执行 LDAP 查询以获取组成员资格信息并为原始请求创建正确的身份验证令牌。
- 转储 NetNTLM 消息以进行离线破解。
- 支持不中继且仅转储捕获的 NetNTLM 哈希的被动模式(在此模式下没有 Kerberos 降级)。
lsarelayx 分为三个部分。在 liblsarelay.dll 中实现的虚假 LSA 身份验证提供程序、作为控制接口的用户模式控制台应用程序和名为 RAW 的新 ntlmrelayx 服务器模块。
值得注意的是:liblsarelayx.dll 将在关键的 lsass.exe 进程中加载。如果 liblsarelayx.dll 有任何错误,导致 lsass.exe 崩溃,主机将在 60s 后重新启动。