从Responder的攻击角度看windows加固

  • A+
所属分类:安全闲碎


一、背景

    在某些无凭证开始的内部网络攻防对抗中,Responder依靠着在无凭证的情况下可用于Net-NTLM的获取以及配合impacket的中继特性受到大量追捧,情况中合理运用Responder有时候可以发挥出其不意的作用,因此本文主要是对Responder日常主流使用的两个攻击角度出发去讲解其简单的利用和对应的防御措施,原理上来讲本文提到的防御措施不仅仅只是针对Responder,一切通过LLMNR和NBT-NS解析欺骗和SMB中继的利用工具都可防御

二、攻击手法之Net-NTLM的获取

    关于Responder中获取Net-Ntlm的方式主要有两种,第一种是让受害者访问一个不存在的资源使其直接通过DNS解析无法找到,那这时系统便会回退到LLMNR和NBT-NS进行解析,那Responder便会响应一切LLMNR和NBT-NS请求响应,并告诉请求者“我就是你要找的资源”,紧接着受害者对此资源的所有的请求都将被引导到攻击者身上,其中就包括受害者的Net-Ntlm,准备两台机器,攻击机A(192.168.72.152)和受害者B(192.168.72.155),在A上执行

sudo responder –I eth0 –v

从Responder的攻击角度看windows加固

当受害者B在寻找资源输入错误的资源名或存在早已失效的资源请求时

从Responder的攻击角度看windows加固

Responder便会进行响应,欺骗B“没错,我A就是你要找的资源dsadsa,把你账户密码发过来做验证”

从Responder的攻击角度看windows加固

至此A就通过欺骗成功获取了B的Net-ntlm,接下来只需要通过hashcat加载字典破解即可,另外一种就是通过WPAD,由于Windows 2000开始WPAD用于在windows中自动化的设置ie浏览器的代理被默认开启,当开启Responder的WPAD模块后,受害者浏览器会自动来加载我们的wpad.dat文件,因此当受害者浏览网站时不仅可获取到Net-NTLM,还可明文抓取到受害者输入的账号密码,A上执行

sudo responder –I eth0 –wrbF

后,当B打开浏览器访问任意网站时,便会弹窗要求用户输入对应的账户密码(这里会弹窗要求输入账号密码的原因是开启了basic认证,不然获取到的只有Net-Ntlm)

从Responder的攻击角度看windows加固

一旦B输入相应的账户密码后,便获取到其输入的明文账户密码及Net-Ntlm

从Responder的攻击角度看windows加固

加固防御方法--禁用LLMNR

打开gpedit.msc -计算机配置-管理-网络- DNS客户端-关闭多播域名解析-编辑-开启关闭多播域名解析

从Responder的攻击角度看windows加固

加固防御方法--禁用NBT-NS

网卡>属性> IPv4>高级> WINS,然后在“NetBIOS设置”下选择禁用TCP/IP上的NetBIOS

从Responder的攻击角度看windows加固

加固防御方法--关闭wpad

Internet选项-连接-局域网设置-取消自动检测设置,重启即生效(备注:建议有条件的企业可部署上网代理)

从Responder的攻击角度看windows加固

开启防护策略后的最终效果

当访问不存在的资源时,由于直接使用DNS,不再通过LLMNR和NBT-NS,因此快速响应资源不存在

从Responder的攻击角度看windows加固

打开浏览器访问百度,正常访问

从Responder的攻击角度看windows加固

攻击者A上,也未在监听到任何信息

从Responder的攻击角度看windows加固

三、攻击手法之SMB中继

准备三台机器,攻击机A(192.168.72.152)、受害者B(192.168.72.155)和受害者C(192.168.72.157),在A上先将Responder.conf中的SMB和HTTP设置为false保存文件后开启Responder

从Responder的攻击角度看windows加固

然后再执行

sudo pythonrunfinger.py –I 192.168.72.1/24,

查看哪些服务器没有开启SMB签名

从Responder的攻击角度看windows加固

从图上可以看到AD是开启了SMB签名的(域控默认开启),157和155是没有开启的然后执行

sudo python Multireplay.py –t 192.168.72.155 –u Administrator

,这时responder会将捕捉到的所有Net-Ntlm中继到155的机器上去,等待一段时间过后,responder成功捕捉到一个可以通过155认证的Net-Ntlm,从而获得了155的高权限

从Responder的攻击角度看windows加固

加固防御方法--开启SMB签名

在管理员权限下通过powershell执行

Set-ItemProperty -Path"HKLM:SYSTEMCurrentControlSetServicesLanmanWorkstationParameters" RequireSecureNegotiate -Value1 –Force


特别值得一提的是,在域环境中,还需要打上这一个补丁才会有效

https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-027


 

参考文章:

[1]https://xz.aliyun.com/t/3560[2]https://www.secpulse.com/archives/65503.html[3]https://www.xctf.org.cn/library/details/242b5bc84314a983ee39d5bb5aab5243c875e3fc/


本文始发于微信公众号(赛博星人):从Responder的攻击角度看windows加固

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: