NTLM Relay其实严格意义上并不能叫NTLM Relay，而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步，在 Type3 Response消息中存在Net-NTLM Hash，当攻击者获得了Net-NTLM Hash后，可以进行中间人攻击，重放Net-NTLM Hash，这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。NTLM Relay Attack（NTLM中继攻击）指的是强制目标服务器、目标用户使用LM Hash、NTLM Hash对攻击者的服务器进行认证，攻击者将该认证中继至其他目标服务器中（域控等），根据目标域的防护等级可以在活动目录域中进行横向移动或权限提升，流程可见上图。

尝试捕获Net-NTLM Hash数据，怎么捕获：
强制请求漏洞
被动钓鱼：基于文件 网页 命令 诱惑对方去访问监听主机
捕获到利用重放脚本去攻击主机
不成功的话就拿来暴力破解Net-NTLM Hash后续利用

进行NTLM Relay攻击有两步：
第一步是捕获Net-NTLM Hash
第二步是重放Net-NTLM Hash
第二步是爆破Net-NTLM Hash

#横向移动-NTLM监听-Responder&Inveigh
https://github.com/SpiderLabs/Responder
https://github.com/Kevin-Robertson/Inveigh

#横向移动-NTLM条件-强制触发&被动钓鱼
强制触发：（见上图） 用户名密码
PrinterBug PeitiPotam
DFSCoerce ShadowCoerce PrivExchange
例：利用打印机漏洞&