lsarelayxNTLM 中继工具

lsarelayx 是系统范围的 NTLM 中继工具，旨在将传入的基于 NTLM 的身份验证中继到运行它的主机。lsarelayx 将中继任何传入的身份验证请求，其中包括 SMB。由于 lsarelayx hook 到现有的应用程序身份验证流，该工具还将在中继完成后尝试为原始身份验证请求提供服务。这将防止目标应用程序/协议显示错误，并为最终用户针对 lsarelayx 主机进行身份验证正常工作。

特性：

• 在系统范围内中继 NTLM 连接，包括 SMB、HTTP/HTTPS、LDAP/LDAPS 或任何其他实现 Windows 身份验证 API 的第三方应用程序。
• 在可能的情况下，将传入的 Kerberos 身份验证请求降级为 NTLM。这将导致传统上尝试 Kerberos 身份验证的客户端回退到 NTLM。
• 为中继用户执行 LDAP 查询以获取组成员资格信息并为原始请求创建正确的身份验证令牌。
• 转储 NetNTLM 消息以进行离线破解。
• 支持不中继且仅转储捕获的 NetNTLM 哈希的被动模式（在此模式下没有 Kerberos 降级）。

lsarelayx 分为三个部分。在 liblsarelay.dll 中实现的虚假 LSA 身份验证提供程序、作为控制接口的用户模式控制台应用程序和名为 RAW 的新 ntlmrelayx 服务器模块。

值得注意的是：liblsarelayx.dll 将在关键的 lsass.exe 进程中加载。如果 liblsarelayx.dll 有任何错误，导致 lsass.exe 崩溃，主机将在 60s 后重新启动。