利用Web查询文件(.iqy)有效钓鱼

几天前我在Casey Smith的twitter上看到了有关iqy文件的一些介绍,和大多数渗透测试人员或者技术狂热者一样我也在探寻它的价值。能够通过使用本地/可信工具来构建一个Web查询,我想这是任何一个攻击者都不想错过的事情。

很快Casey在其twitter上发布了一个简单的PoC

这确实很简单,但是对于有效钓鱼已经十分足够了。IQY文件可用于SMB中继攻击,接下来我们就来看看存在哪些攻击可能。

钓鱼之明文凭证

我创建了一个可用于生成IQY文件的PowerShell脚本,Out-WebQuery.ps1文件可在Nishang项目下的Client目录下找到,下面是使用演示:

PS C:\> . C:\nishang\Client\Out-WebQuery.ps1

对于监听器,使用Start-CaptureServer.ps1,这个脚本打开一个HTTP监听器,获取基本的日志并且将NTLM身份验证请求记录下来,这需要在攻击者机器上运行一个高权限的Shell。因为是明文凭证,我们需要选择AuthType Basic

LogFilePath C:\test\log.txt

目前我们第一步生成的IQY文件就可以通过Email附件或者其他什么方式发送给目标机器。无论如何,该文件默认通过MS Excel进行打开,接着用户会看到一个安全警告。

当单击开启之后,我们的目标会看到一个请求凭证的提示

当目标键入凭证之后(他们总是这么干),我们可以在监听器和日志中看到

钓鱼之NTLM Hashes

Out-WebQuery以及Start-CaptureServer可以用来从目标的netntlm格式中捕获NTMLv2 hashes。相比基本的身份验证使用hashes捕获到的几率很低。用户对于凭证提示的免疫力太低了,我们只需使用AuthType NTLM2.

使用John the ripper可以创建hashes上面捕获的hashes在hashes.txt文件中是以下格式(format)

nikhil::PFPTLAB:00000000000000000000000000000000060380250000000F:970170524E4B2A0D00000000020000000000000000000000:1122334455667788

并且

john --format=netntlm hashes.txt

同样我们也可以使用Inveigh (https://github.com/Kevin-Robertson/Inveigh)来捕获hashes,相对Start-CaptureServer 来说他的功能更丰富

SMB中继攻击

你也可以使用IQY文件进行SMB中继攻击,IQY文件支持UNC路径。在以下情况,用户不需要输入其凭证:

C:\test\QueryData.iqy

不幸的是,这里没有PowerShell代码可用来中继hashes。我们从Impacket库中调用smbrelayx,接着我们从192.168.230.111捕获中继hashes,192.168.230.112是一个Windows7机器。

上面的 runps.exe是一个运行于PoweShell脚本的控制台程序,在目标机器上该文件名为powershell.exe,PowerShell脚本编码在Nishang项目的 Invoke-PowerShellTcpOneLine中

当然,我相信还有更棒的方法从.Net调用PoweShell代码,但我们这里就不多加讨论了。

一旦目标打开IQY文件我们将获取:

一个交互的PoweShell会话。如果你愿意你可以十分轻松的将其升级为meterpreter会话。

< 点击最下方的“阅读原文”查看更多内容 >

* 译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-08-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏java思维导图

一文理解Netty模型架构

本文基于Netty4.1展开介绍相关理论模型,使用场景,基本组件、整体架构,知其然且知其所以然,希望给读者提供学习实践参考。

1234
来自专栏惨绿少年

用户与磁盘

第1章 linux文件属性相关 1.1 linux文件属性 1.2 磁盘的使用过程 1、磁盘(房子) 2、分区(划分隔断) 3、格式化创建文件系统(装修) 4、...

2680
来自专栏小特工作室

Navi.Soft31.WinCE框架.开发手册(含下载地址)

1.概述 1.1应用场景 随着物联网的普及,越来越多的制造商对货品从原料配备,加工生产,销售出库等环节的要求和把控越来越高.在此情况之下,传统的ERP软件已经无...

1955
来自专栏开发技术

spring-session实现分布式集群session的共享

  HttpSession是通过Servlet容器创建和管理的,像Tomcat/Jetty都是保存在内存中的。但是我们把应用搭建成分布式的集群,然后利用LVS或...

1191
来自专栏张善友的专栏

将Windows日志转换为Syslog

无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。在RFC 3164中定...

41310
来自专栏极客日常

极客工具之 Alfred 与 Dash

使用 Alfred 可以让你在 macOS 程序间自由切换、快速查找或打开文件、调起浏览器进行网页搜索、 还可以做计算器。 另外,还有许多其它搜索功能以及付费的...

2353
来自专栏技术/开源

开源API测试工具 Hitchhiker v0.6更新 - 改进压力测试

Hitchhiker 是一款开源的支持多人协作的 Restful Api 测试工具,支持Schedule, 数据对比,压力测试,支持上传脚本定制请求,可以轻松部...

3378
来自专栏信安之路

Linux 闯关游戏之通关秘籍

强盗战争是针对绝对的初学者。它将教授需要能够玩其他战争游戏的基础知识,通过这个游戏能学习到很多 Linux 的基础知识。和大多数其他游戏一样,这个游戏按层次组织...

3856
来自专栏游戏杂谈

恢复低版本的FlashPlayer

做页游开发,经常会遇到一些很奇怪的问题。我最近就遇到一个问题:用户进入游戏,只显示游戏部分界面,chrome浏览器是正常的,就IE死活不行,而我自己的IE却又...

4853
来自专栏Jackson0714

PHP内核之旅-1.生命周期

1192

扫码关注云+社区

领取腾讯云代金券