Uma ferramenta para realizar ataques de retransmissão NTLM contra alvos HTTP/HTTPS. Construído sobre o módulo ntlmrelayx. Permite que um atacante navegue em uma aplicação web como o usuário alvo através de um proxy SOCKS5 integrado.

Funcionalidades:
📍 Suporta múltiplos usuários com seleção automática de sessão ativa.
📍 Contorna a autenticação em modo kernel IIS/HTTP.sys usando uma solicitação de sonda preliminar.
📍 Preserva os cabeçalhos User‑Agent e Cookie para manter o comportamento adequado da aplicação.

Ao contrário do WebRelayX, o ghostsurf não varre recursos HTTP/HTTPS para autenticação NTLM.

 📎 Pesquisa: https://specterops.io/blog/2026/04/02/ghostsurf-from-ntlm-relay-to-browser-session-hijacking/

📎 Ferramenta: https://github.com/senderend/ghostsurf

💬 Discutir

ghostsurf — sequestro de sessão do navegador via retransmissão NTLM