使用ntlmRelayToEWS进行NTLM重放攻击的高效工具

1、项目介绍

ntlmRelayToEWS是一个专为针对Exchange Web Services（EWS）执行NTLM重放攻击而设计的工具。由@Arno0x0x开发，它在端口445上开启一个SMB监听器，在端口80上开启一个HTTP监听器，等待受害者的连接。一旦受害者与其中一个监听器建立连接，就会发生NTLM协商，并将其转发到目标EWS服务器。

此工具不是完整的EWS API实现，而是专注于一些特定的攻击场景，提供了有限的服务。但其灵活性和实用性使其成为安全研究人员和渗透测试人员的重要资源。

2、项目技术分析

ntlmRelayToEWS依赖于Impacket库，该库提供了一套强大的网络协议和身份验证工具。通过监听SMB和HTTP协议的NTLM认证请求，它可以实现在受害者不知情的情况下将凭据转发给指定的EWS服务器。此外，工具还支持多种攻击模式，包括发送电子邮件、获取邮件箱内容、创建转发规则、设置网页主页和添加邮箱委托。

虽然它最初是在Exchange Server 2010 SP2上测试的，但有些报告表明，这个工具也可以无缝工作在Exchange 2016服务器上。

3、项目及技术应用场景

• 安全评估：渗透测试和安全审计中，用于检查组织的安全防御措施是否能有效防止NTLM重放攻击。
• 漏洞利用：在已知存在NTLM重放漏洞的环境中，可以快速地进行影响范围评估和潜在危害分析。
• 教育和研究：学习NTLM身份验证机制及其可能的滥用方式，以及EWS接口的工作原理。

4、项目特点

• 多服务支持：工具实现了多个EWS服务，如发送电子邮件、获取邮件箱内容等，满足不同类型的攻击需求。
• 易于扩展：由于工具本身仅实现了部分EWS服务，因此可以根据需要轻松添加新的SOAP请求模板以适应其他版本的Exchange服务器。
• 多种触发方式：可通过电子邮件、链接文件或通过网络欺骗手段诱使受害者主动发起认证请求。
• 合法性声明：强调只应用于合法和合规的安全测试环境，提醒使用者遵守法律。

总的来说，ntlmRelayToEWS是一款强大且灵活的工具，适用于对EWS服务器进行安全测试和防护策略验证。如果你对此类攻击有研究或者需要进行相关测试，那么这款工具无疑是你的得力助手。记得在使用时遵循所有适用的法律法规哦！