RelayKing

Мощный инструмент для перечисления и обнаружения векторов атак типа NTLM Relay в средах Active Directory. Разработан специалистами из Depth Security.

Подробнее

Софт ищет узлы в сети, которые позволяют злоумышленнику перехватить чужую аутентификацию (логин/пароль в зашифрованном виде) и «переслать» её на другой сервер, чтобы войти в систему под видом легитимного пользователя.

Многие протоколы (SMB, HTTP, LDAP) используют аутентификацию NTLM. Если на сервере не включена обязательная «подпись» (Signing) или «защита канала» (Channel Binding), атакующий может встать посередине (Man-in-the-Middle) и использовать чужие учетные данные для доступа к ресурсам. RelayKing автоматизирует процесс поиска таких «уязвимых» серверов во всей сети.

Особенности

Protocol Detection

SMB/SMB2/SMB3: Signing requirements, channel binding, version detection (no auth required)
HTTP/HTTPS: EPA/CBT enforcement (Auth required for reliable HTTPS checks)
LDAP/LDAPS: Signing requirements, channel binding (Auth required for reliable CBT check on LDAPS)
MSSQL: EPA enforcement (Auth required for reliable check)
RPC: MS-RPC endpoint enumeration, authentication requirements (Auth required for reliable check)
WINRM/WINRMS: WS-Management, EPA enforcement, channel binding (Authed check) (WIP)
SMTP: NTLM authentication detection, STARTTLS support (WIP)
IMAP/IMAPS: NTLM authentication, encrypted mail access (WIP)

Advanced Detection

NTLM Reflection: Identifies hosts vulnerable to NTLM reflection attacks (CVE-2025-33073)
WebDAV/WebClient: Detects hosts with the WebDAV WebClient service running
NTLMv1 Support: Checks for NTLMv1 authentication support (individually or at GPO level)
Coercion Vulnerabilities: Detects unauthenticated (if specified) PetitPotam, PrinterBug, DFSCoerce

Relay Path Analysis

Automatically identifies viable relay attack paths (Functioning, needs more work)
Prioritizes paths by impact (critical, high, medium, low)
Cross-protocol relay detection (requires --ntlmv1or --ntlmv1-all - cross-protocol detection only when confirmed Net-NTLMv1 usage discovered)
NTLM reflection paths (including partial MIC removal paths/cross-protocol relay)
Severity rating logic is WIP, submit PRs for upgrades/improvements! Not 100% of situations/scenarios are accounted for currently - the goal is to cover all possible primitives.

Targeting Options

Active Directory Audit (--audit): Enumerate all computers from AD via LDAP. Requires low-priv AD credentials and functional DNS within environment. Force with --dc-ip or edit /etc/resolv.conf.
File Input: Load targets from text file
CIDR Notation: Scan entire subnets (e.g., 10.0.0.0/24)
IP Ranges: Scan IP ranges (e.g., 10.0.0.1-254)
Individual Hosts: Target specific hosts or FQDNs (python3 relayking.py -u blah -p pass -d domain.local <your_target_ip_or_hostname>)

Output Formats

Plaintext: Human-readable output with detailed findings
JSON: Structured data for programmatic analysis
XML: Hierarchical data format
CSV: Spreadsheet-compatible format
Grep-able: One-line-per-result format for easy parsing
Markdown: Documentation-ready format

Скачать

Сообщество THREAD предупреждает, что перед запуском предоставленного программного обеспечения необходимо проявить особую осторожность. Для защиты рабочих станций от возможного заражения рекомендуется использовать виртуальную машину или песочницу.
Пароль от архива и соглашение

Download | Github

#pentesting