Certipy中SMB签名导致的NTLM中继失败问题分析

问题概述

在Certipy 4.8.2版本中，当客户端启用了"Require SMB Signing"(要求SMB签名)设置时，工具无法成功进行RPC和HTTP的中继攻击。这与同类工具ntlmrelayx的行为形成对比，后者在相同条件下仍能正常工作。

技术背景

SMB(Server Message Block)协议是Windows网络中用于文件共享、打印机共享等功能的通信协议。SMB签名是一种安全机制，用于验证SMB消息的完整性和真实性，防止中间人攻击。当客户端配置为"要求SMB签名"时，所有SMB通信都必须经过签名验证。

问题现象分析

通过Wireshark抓包分析，可以观察到Certipy和ntlmrelayx在SMB协商阶段的关键差异：

1. Certipy在发送NTLMSSP_NEGOTIATE数据包后会返回STATUS_MORE_PROCESSING_REQUIRED状态标志
2. 当客户端要求SMB签名时，Certipy的SMB会话会立即终止
3. 错误代码2148073478对应"SMB签名无效"的错误信息

根本原因

Certipy在实现SMB中继功能时，未能正确处理客户端要求SMB签名的情况。具体表现为：

1. 工具没有正确协商SMB签名选项
2. 在签名要求存在时，未能建立有效的SMB会话
3. 会话终止导致后续的NTLM认证流程无法完成

解决方案

根据问题分析，解决方案应包括：

1. 实现完整的SMB签名协商流程
2. 正确处理STATUS_MORE_PROCESSING_REQUIRED状态
3. 确保在签名要求存在时仍能维持会话

实际影响

此问题直接影响Certipy在以下场景中的使用效果：

1. 针对配置了严格SMB签名策略的Windows客户端的攻击
2. 在企业环境中，许多安全策略会默认启用SMB签名要求
3. 对ADCS(Active Directory证书服务)的攻击场景受限

最佳实践建议

对于安全研究人员和渗透测试人员：

1. 在测试环境中，可以临时调整客户端的SMB签名策略为"若服务器同意"以进行验证
2. 关注Certipy的更新版本，该问题已在后续版本中得到修复
3. 进行内网渗透测试时，应同时准备多种中继工具以应对不同环境

总结

Certipy作为ADCS攻击的强大工具，在处理SMB签名要求时存在缺陷。理解这一问题的技术细节有助于安全人员更好地规划测试方案，并在必要时选择替代工具。随着项目的持续更新，这类协议级别的兼容性问题将逐步得到完善。