內網中間人的玩法

2021-02-23 信安之路

在內網滲透測試中,我們可以欺騙攻擊網絡配置和服務。這種攻擊方式主要針對ARP(地址解析協議)、DHCP(動態主機配置協議)和DNS伺服器配置不當造成的安全隱患。還有一種比較常見的攻擊方式就是中間人攻擊,他能夠使我們通過監控網絡流量獲取敏感信息。我們可以對網絡設備採取安全措施來預防攻擊。但是,由於一些協議固有的弱點來進行攻擊,本文就是利用LLMNR NetBIOS和WPAD機制來進行中間人攻擊。

下面我們先了解一下DNS的查詢過程,如圖所示:

下面是在內網中dns查詢的幾個關鍵步驟:

1 文件系統中的hosts文件

配置文件地址:C:\Windows\System32\drivers\etc
2 本地DNS緩存
CMD命令:ipconfig /displaydns
3 向dns伺服器發送dns請求
4 發送LLMNR查詢
在DNS查詢失敗的時候使用
5 發送NetBIOS-NS查詢
它工作在OSI模型的會話層。NetBIOS是一個API不是一個windows作業系統之間的協議。計算機的NetBIOS名字跟電腦名字是一樣的
LLMNR和NetBIOS-NS是什麼
LLMNR (本地鏈路多播名稱解析)和NetBIOS-NS(名稱服務)是windows用於名稱解析和溝通的兩個組件。LLMNR是在windows vista之後版本中出現的,也算是NetBIOS-NS的延續。
LLMNR為使用IPv4、IPv6或者同時使用這兩種地址的設備提供了點對點名稱解析服務,可以讓同一子網中的IPv4和IPv6設備不需要WINS或DNS伺服器就可以解析對方的名稱,而這個功能是WINS和DNS都無法完全提供的。雖然WINS可以為IPv4提供客戶端-伺服器以及點對點名稱解析服務,不過並不支持IPv6地址。至於DNS,雖然支持IPv4和IPv6地址,但必須通過專門的伺服器才能提供名稱解析服務。LLMNR通過在DNS名稱解析服務不可用時提供解析服務,彌補了DNS的不足。
LLMNR 協議經常在dns伺服器解析不到的時候才會用到且使用的服務埠是5355 TCP/UDP,默認使用的多播服務IP位址是IPv4:224.0.0.252以及IPv6:FF02:0:0:0:0:0:1:3
比如:在內網中ping test.local,首先會去dns伺服器查詢,在dns伺服器未找到的時候,這時查詢請求就會重定向到LLMNR協議。
下圖是查詢時捕獲的數據包:
而NetBIOS是本地網絡的系統API,它有三種NetBIOS服務:
1 域名服務,使用137埠用於域名註冊和域名解析
2 數據分發服務,使用138埠連接通信
3 會話服務,使用139埠面向連接通信
在dns查詢失敗後,LLMNR會調用NetBIOS,生成一個NetBIOS-NS數據包然後使用廣播的方式發送出去。
這個看似沒什麼壞處的協議,我們可以利用其進行中間人攻擊從而獲取敏感數據,如用戶名,hash等。
測試舉例攻擊場景模擬
實現方式
推薦工具:
1 https://github.com/SpiderLabs/Responder
2 msf -- https://www.rapid7.com/db/modules/auxiliary/spoof/llmnr/llmnr_response
3 https://github.com/byt3bl33d3r/MITMf
簡要步驟
1 使用Responder指定網絡接口並開始監聽流量
2 我們嘗試連接\\filesrvr (一個不存在的主機名)
3 獲取SMB-NTLMv2的哈希
4 我們已經知道了NTLMv2的哈希,這時我們既可以暴力破解也可以哈希傳遞來利用了。
利用WPAD什麼是WPAD
通常公司內網為了安全,不允許員工直接訪問外網的服務,但是允許公司員工通過web代理訪問外網資源,但是對於員工來說設置代理又是個麻煩事,所以通常公司使用wpad自動配置代理。
WPAD(web代理自動發現協議-Web Proxy Auto-Discovery Protocol),是客戶端通過DHCP或DNS協議探測代理伺服器配置腳本url的一種方式。當IE定位腳本並將腳本下載到本地之後,就可以通過該腳本來為不同的url選擇相應的代理伺服器。目前主流瀏覽器一般都支持WPAD。
WPAD是如何工作的
客戶端想用訪問wpad.dat配置代理,在DHCP伺服器沒有配置wpad的情況下,回去查找以wpad命名的伺服器然後尋找對應的文件,然後進行以下步驟:
1 如果DHCP伺服器配置了wpad,那麼直接從DHCP伺服器獲取wpad.dat文件然後跳到第4步,否者執行下一步
2 向dns伺服器發送請求查找wpad.test.local,然後獲取代理配置文件,如果成功跳到第4步,否則執行下一步
3 發送LLMNR查詢wpad.test.local,如果成功跳到第4步,不成功代理設置失敗
4 下載wpad.dat並且配置
在第一步中使用dns汙染攻擊到第二步,第二步也可以使用dns汙染攻擊,這種攻擊模式是可以通過配置網絡設備去預防的。當通過LLMNR進行查詢時,該請求將通過廣播發送到網絡中的每個客戶端。 在這一點上,攻擊者可以像wpad伺服器那樣將他的wpad.dat文件發送給客戶端。
重要的是WPAD協議內置於Windows作業系統中。 此配置可以在Internet Explorer瀏覽器的LAN設置部分中看到。如下圖;
利用WPAD
Responder是中間人攻擊很好的實用工具,Responder提供假的WPAD伺服器並響應客戶端的WPAD名稱解析。然後提供假的wpad.dat下載。Responder創建一個身份驗證程序,並要求客戶端填寫域中的帳戶密碼。這樣就可以獲取到員工的帳號密碼。
下面是一個wpad中間人攻擊的拓撲圖:
利用Responder的步驟:
1 提供假的http伺服器並等待帳號密碼
2 Responder偽造的登錄框
3 獲取的明文如下
緩解WPAD攻擊的方法
1 在DNS伺服器上指定wpad伺服器的地址
2 使用組策略設置禁止所有Internet瀏覽器上的「自動檢測代理設置」。

相關焦點

  • HTTPS 中間人攻擊及其防範
    什麼是中間人攻擊以下內容來自維基百科中的中間人攻擊詞條:在密碼學和計算機安全領域中,中間人攻擊(Man-in-the-middle attack,縮寫:MITM)是指攻擊者與通訊的兩端分別建立獨立的聯繫,並交換其所收到的數據,使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制。
  • 【內網滲透系列】|15-內網滲透、橫向攻擊思路(文末贈送【 內網滲透 】書籍)
    本次對內網橫向攻擊的技巧和方法進行總結。當進行內網橫向攻擊前,需要對可能出現的問題進行預防。2、內網防火牆與殺毒軟體內網防火牆,內網態勢感知,內網流量監控,ids,ips等安全設備都會給橫向攻擊的開展造成很大的麻煩,應對措施有,對傳輸流量進行加密,修改cs流量特徵,禁止大規模內網探測掃描等等。
  • Frp內網穿透實戰
    此時為了內網橫向滲透與團隊間的協同作戰,可以利用Frp在該機器與VPS之間建立一條「專屬通道」,並藉助這條通道達到內網穿透的效果。實戰中更多時候依靠 Socks5 。更多詳細使用方法,可查看官方Github,這裡不再贅述。https://github.com/fatedier/frp/前期準備先準備一臺VPS與域名。
  • 一文了解「中間人攻擊(MITM)」(附防範建議)
    你可能聽說過「中間人攻擊(MiTM)」這個詞,甚至可能對它還存在一個模糊的概念。但是,你仍舊會想「到底什麼才是中間人攻擊?」下面這篇文章就將為您提供解答。總的來說,中間人(man-in-the-middle,MITM)攻擊非常難以識別和防禦。
  • 半路殺出的程咬金之中間人攻擊
    中間人攻擊(Man-in-the-Middle Attack,簡稱「MITM攻擊」)是一種「間接」的入侵攻擊, 這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間
  • Evil FOCA-內網劫持工具使用
    在iPv4環境下,通過ARP欺騙和DHCP ACK注入進行中間人攻擊2.    在iPv6環境下,通過鄰網欺騙,SLAAC攻擊,偽造DHCPv6進行中間人攻擊3.    iPv4下,通過ARP欺騙進行Dos攻擊4.    iPv6下,通過SLLAAC攻擊進行Dos5.    DNS劫持
  • 內網滲透(十四) | 工具的使用|Impacket的使用
    內網滲透(十三) | WinRM遠程管理工具的使用內網滲透(十二) | 利用委派打造隱蔽後門(權限維持)內網滲透(十一) | 哈希傳遞攻擊(Pass-the-Hash,PtH)技術乾貨 | 工具:Social engineering tookit 釣魚網站技術乾貨 | 工具的使用:CobaltStrike上線Linux主機(CrossC2)內網滲透(十) | 票據傳遞攻擊內網滲透(九) | Windows域的管理內網滲透(八) | 內網轉發工具的使用
  • 關於使用外部 IP 服務的中間人攻擊漏洞的聲明公告
    近日,社區批露了關於使用 Load Balancer 或者 External IPs 進行中間人攻擊的一個安全漏洞(編號 CVE-2020-8554
  • 新手指南:如何用Ettercap實現「中間人攻擊」(附下載連結)
    什麼是「中間人攻擊」?
  • Metasploit和Cobaltstrike內網域滲透分析(實戰總結)
    一、測試環境搭建靶場常見的網絡拓撲環境如下:web伺服器安裝有雙網卡,一塊網卡連接網際網路,一塊網卡連接內網,內網裡的機器是無法直接連接網際網路的。打入內網後,首先要進行的就是信息收集,弄清楚內網有哪些網段,域控是哪個,域用戶有哪些等重要信息,為後續的滲透提供支持。
  • 傳輸層隧道技術之lcx內網埠轉發
    在滲透測試中,如果內網防火牆阻止了指定埠的訪問,在獲得目標機器的權限後,可以使用IPTABLES打開指定埠。如果內網中存在一系列防禦系統,TCP、UDP流量會被大量攔截。192.168.4.137window 7(受害者):1.1.1.10monowall防火牆:只允許通過TCP/UDP數據2.網絡拓撲圖內網
  • 實戰|記一次內網靶機滲透測試
    靶機環境-魔改的紅日6,修改了bluecms源碼;外網Web:192.168.140.131/192.168.111.128內網0x02 內網滲透可以看到權限還是挺高的。存在111段拿下內網weblogic可以看到存在域de1ay.com,拿到了本地管理員權限。
  • 從HTB-Querier靶場看內網滲透
    文章來源|MS08067 內網安全知識
  • 家庭網絡升級實況-第一彈:內網升級2.5G
    就準備升級一下內網環境。看一下了,10G內網設備貴的一批,交換機2K起步,雷電三轉電口的網卡,1K多,這升級成本實在太高。且Nas裡的機械盤也跑不到萬兆的速度。於是準備升級成2.5G的網絡。順便也把家裡的無線網升級到WiFi6,買了TP-LINK AX3000(帶2.5G網口)的路由器,價格319元。這樣WiFi也能吃到2.5G的速度。
  • GitHub 疑遭中間人攻擊,無法訪問;最大暗網託管商再次被黑,資料庫被刪​
    (給技術最前線加星標,每天看技術熱點)參考:程式設計師的那些事、藍點網、solidot、cnBeta、騰訊科技等0、GitHub 疑遭中間人攻擊
  • 內網滲透系列:內網隧道之ICMP隧道
    收錄於話題 #內網滲透 紅客突擊隊內網滲透系列:內網隧道之ICMP隧道目錄前言
  • 推薦一款實現內網穿透的測試神器:Ngrok
    點擊上方「測試開發技術」,選擇設為「設為星標」近期推文:年底特輯:新一代測試平臺開源實戰項目Python工作日:年底基本被各種PPT準備、2019年總結、2020年規劃、各種公司年底會議所覆蓋。1、查看Django REST API項目結構:(env) ➜ drf_swagger tree -L 2.├── api│   ├── __init__.py│   ├── __pycache__│   ├── admin.py│   ├── apps.py│   ├── migrations│   ├── models.py
  • 滲透測試內網--WMI命令
    qwerty@12345678 process call create "cmd.exe /c ipconfig > C:\result.txt"使用type命令查看執行命令的結果:type \\192.168.19.142\c$\result.txtWMIEXEC命令:相對於PSEXEC優點是可以有邊界的交互,使用起來也比較方面,在內網滲透中使用也非常方便
  • 中間人嗅探工具ettercap的功能和應用總結【原創】
    4、監聽通過GRE通道的遠程通信:可以通過監聽來自遠程cisco路由器的GRE通道的數據流,並對它進行中間人攻擊。5、Plug-in支持:通過Ettercap的API可以創建自己的Plug-in。其中,UNIFIED的方式是以中間人方式嗅探;BRIDGED方式是在雙網卡情況下,嗅探兩塊網卡之間的數據包。UNIFED方式的大致原理為同時欺騙A和B,把原本要發送給對方的數據包發送到第三者C上,然後由C再轉發給目標。這樣C就充當了一個中間人的角色。因為數據包會通過C那裡,所以由C再轉發給目標。這樣C就充當了一個中間人的角色。
  • 警惕:NSABuffMiner挖礦木馬對企業內網的攻擊正在增長
    該病毒運行之後,會上傳系統相關信息,佔用系統部分資源進行挖礦,部分資源用於向內網與外網同時擴散攻擊,攻擊成功後,將被攻陷的機器變為「肉雞」以執行上述惡意行為,循環反覆。二、樣本分析由於病毒母體釋放文件較多,邏輯較為複雜,因此畫了一個文件關係流程圖便於理解,如下所示。