wireshark流量分析之打印机服务强制认证攻击检测

网安引领时代，弥天点亮未来   

 

0x00故事是这样的

1.Spooler利用原理：(需要配合非约束委派)

利用Windows打印系统远程协议（MS-RPRN）中的一种旧的但是默认启用的方法，在该方法中,域用户可以使用MS-RPRN RpcRemoteFindFirstPrinterChangeNotification（Ex）方法强制任何运行了Spooler服务的计算机以通过Kerberos或ntml对攻击者选择的目标进行身份验证。

2.利用可以参考:

https://www.cnblogs.com/sup3rman/p/16088447.html(非约束性委派结合spooler打印机漏洞演示)

3.在HVV期间,可能我们会收到wireshark数据包进行离线分析。

4.打开数据包内容如下。

5.打印机服务强制认证攻击的特征简单概况就是源IP调用了目的IP的打印机服务,然后目的IP会通过445端口smb协议反向连接回源IP进行认证。

6.我们要先筛选出流量内所有调用打印机服务的源IP。

7.一般都是通过smb连接共享,然后创建文件spools,然后再通过dcerpc去调用spools。

8.uuid=12345678-1234-abcd-ef00-0123456789ab就是打印机服务的唯一uuid。

9.所以(dcerpc.cn_bind_to_uuid == 12345678-1234-abcd-ef00-0123456789ab)可以筛选出来所有调用了打印机服务的源IP。

10.然后再筛选出数据包内所有包含NTLMSSP_NEGOTIATE的数据包,这个代表smb认证协商请求,所以搜索了ntlmssp.messagetype==0x00000001

11.这个时候结果已经很明显了,源IP:172.16.66.37向目的IP:172.16.66.36发起了调用打印机服务的请求,在这之后目的IP:172.16.66.36会通过445端口smb协议反向连接回源IP:172.16.66.37进行smb认证的协商。

12.通过这样排查,我们可以找到有人正在使用打印机服务强制认证攻击。

13.这种检测方式误报几率比较低,因为很少会有源IP调用打印机服务之后马上出现目的IP反向认证的情况。

14.欢迎大家关注弥天安全实验室公众号。

 

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

   弥  天

安全实验室

原文始发于微信公众号（弥天安全实验室）：wireshark流量分析之打印机服务强制认证攻击检测