WPAD中间人攻击

WPAD简介

WPAD全称是网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编译并运行,最终自动使用代理访问网络

WPAD原理

用户在访问网页时,首先会去查询PAC文件的位置,具体方式如下:

  • DHCP服务器:Web浏览器向DHCP服务器发送DHCP INFORM查询PAC文件位置,DHCP服务器返回DHCP ACK数据包,包含PAC文件位置
  • DNS查询方式:Web浏览器向DNS服务器发起WPAD+X的查询,DNS服务器返回提供WPAD主机的IP地址,Web浏览器通过该IP的80端口下载wpad.dat
  • NBNS查询方式

补充说明:

1、Windows 2K 、XP、2K3只支持DNS和NetBIOS

2、Windows Vista之后(包括 2K8、 Win7、Win8.x、Win 10)支持DNS、NBNS、LLMNR

3、如果DHCP和DNS服务器均没有响应,同时当前缓存没有所请求的主机名,且当前系统支持LLMNR(Link-Local Multicast Name Resolution),则首先发起广播LLMNR查询,如果没有响应再发起广播NBNS查询,如果有主机回应PAC文件位置,Web浏览器通过该IP的80端口下载wpad.dat

WPAD漏洞

根据WPAD的原理,如果被攻击用户发起NBNS查询时伪造NBNS响应,那么就能控制其通过伪造的代理服务器上网,达到会话劫持的目的

WPAD欺骗

Responder

下面使用Responder工具来进行NBNS欺骗攻击:

Step 1:使用以下参数运行Responder实施WPAD欺骗

./Responder.py -I eth0 -w -F

Step 2:之后受害者打开浏览器后访问(清除会话的情况下)会强制认证一次

Step 3:之成功捕获用户的Net-NTLM Hash

Inveigh实现

Inveigh下载地址:https://github.com/Kevin-Robertson/Inveigh

Step 1:使用管理员权限打开攻击机器的powershell依次输入以下命令

. .\Inveigh.ps1
Invoke-Inveigh -ConsoleOutput Y

#PS:如果有执行策略限制再加一条Set-ExecutionPolicy Bypass -Scope Process

Step 2:当用户打开浏览器时会自动进行一次WPAD身份认证(用户之前已清除会话的情况下),而且不验证无法正常访问

Step 3:之后成功捕获到用户Net-NTLM Hash值

InveighZero

项目地址:https://github.com/Kevin-Robertson/InveighZero

Step 1:之用管理员权限打开攻击机器的cmd之后执行以下命令

Inveigh.exe

Step 2:之后进行身份认证

Step 3:成功捕获到用户的Net-NTLM Hash

参考链接

https://max.book118.com/html/2017/1101/138462395.shtm

文末扩展

内网渗透工具持续更新,后续有机会也会对一些工具的使用结合环境进行演示分享:

https://github.com/Al1ex/Pentest-tools

其余的中间人攻击手法后期将会补上~

下期预告:AD CS Realy详解(算是迟来的文章吧,之前没有时间发,后续补)~

本文分享自微信公众号 - 七芒星实验室(HeptagramSec),作者:Al1ex

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-08-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 内网中间人的玩法

    在内网渗透测试中,我们可以欺骗攻击网络配置和服务。这种攻击方式主要针对ARP(地址解析协议)、DHCP(动态主机配置协议)和DNS服务器配置不当造成的安全隐患。...

    信安之路
  • MITM6:用IPv6攻陷IPv4网络的工具

    随着IPv6概念的提出,互联网上针对IPv6协议的使用也日渐增多,但即便如此IPv6在公司内部却并不受欢迎,很少会有公司使用IPv6。然而,大多数公司可能都忽略...

    企鹅号小编
  • 【M01N】资源约束委派和NTLM Relaying的组合拳接管域内任意主机系统权限

    【声明:本文所述相关技术仅限研究和学习使用,请遵守国家网络安全法律法规,勿用于入侵等非法用途,使用本文相关技术造成的法律问题与本公司无关。】

    绿盟科技研究通讯
  • 紧急安全公告—BadTunnel漏洞修复—2016年6月20日

    6月14日,微软安全公告上发布了高危漏洞BadTunnel:CVE-2016-3213。CVE-2016-3213即Windows WPAD 特权提升漏...

    嘉为蓝鲸
  • Active Directory渗透测试典型案例(1)

    我有几个客户在渗透测试之前来找我,说他们的系统安全做得非常好,因为他们的漏洞扫描显示没有严重的漏洞并且已准备好进行安全测试,这使我在15分钟内利用AD中的错误配...

    用户1631416
  • 中间人攻击

    前面的文章我们讲到了RSA算法以目前的手段是很难被攻破的,那么使用RSA算法是不是就一定安全了呢?

    程序那些事
  • 用手机从锁定的计算机中偷取凭证信息

    简介 Room362之前发布从锁定计算机中盗取凭证信息一文,其中的方法很棒。这种攻击方式之所以能成功,主要原因在于系统访问设备的时候,会自动加载设备驱动,即便计...

    FB客服
  • 中间人(MITM)攻击

    中间人(MITM)攻击是一个通用术语,表示当犯罪者将自己置于用户与应用程序之间的对话中时 - 窃听或模仿其中一方,使其看起来好像是正常的信息交换进展中。

    C4rpeDime
  • Wireshark:中间人攻击分析

    https://www.cnblogs.com/yichen115/p/12603295.html

    yichen
  • HTTPS加密连接不再安全 新攻击可轻松绕过

    HTTP,即超文本传输协议,是互联网上应用最为广泛的一种网络协议。然而HTTP协议以明文方式发送内容,不提供任何方式的数据加密,这导致这种方式特别不安全。对此便...

    用户1257215
  • 在你的内网中获得域管理员权限的五种方法

    早在2013年9月,蜘蛛实验室( Spider Labs)就发表过一篇题为“SpiderLabs在你内网中获取域管的五大方式”的文章。这篇文章是我继该文的,应该...

    FB客服
  • 渗透中的内网渗透

    本节主要介绍当拿下一台机器后,应该做的一些信息收集,尽可能的收集密码,去尝试其他机器。

    Jumbo
  • 基于RDP的SSL中间人攻击

    作者 Taskiller 本文通过演示在RDP会话期间劫持的按键发送信息,向读者演示了为什么用户忽略那些基于SSL的RDP连接的证书警告可能导致中间人(MiTM...

    FB客服
  • Github中间人攻击原理分析

    3 月 26 日,国内多个地区访问 Github 以及 Github pages 的时候,谷歌浏览器提示“您的连接不是私密连接”的错误信息,不少用户想知道为什么...

    FB客服
  • 【吐槽】gist.github.com疑遭中间人攻击

    北京时间201510081004,云南电信用户,现在上https://gist.github.com/,用IE10会提示证书被伪造,用搜狗4.1.3.9668会...

    AhDung
  • 如何避免中间人攻击(MITM)

    但如果有第三方在你不知情的情况下窃听,甚至冒充某个你信任的商业伙伴窃取破坏性的信息呢?你的私人数据就这样被放在了危险分子的手中。

    用户8639654
  • 红蓝对抗之Windows内网渗透

    无论是渗透测试,还是红蓝对抗,目的都是暴露风险,促进提升安全水平。企业往往在外网布置重兵把守,而内网防护相对来说千疮百孔,所以渗透高手往往通过攻击员工电脑、外网...

    腾讯安全应急响应中心
  • 基于 LLMNR 和 NetBIOS 欺骗的攻击利用

    链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,使得 IPv4 和 IPv6 的主机可以通过此协议对同一本地链路上的主机执行名称...

    信安之路
  • CVE2018-1111 漏洞复现

    近日,红帽官方发布了安全更新,修复了编号为 CVE-2018-1111 的远程代码执行漏洞,攻击者可以通过伪造 DHCP 服务器发送响应包,攻击红帽系统,获取 ...

    信安之路

扫码关注云+社区

领取腾讯云代金券