介绍
网络钓鱼。我们都喜欢网络钓鱼。这篇文章介绍了一种新的网络钓鱼技术,它基于我掌握的一些旧知识,可用于绕过电子邮件过滤器等。我希望在发布后,大多数供应商都能识别和解决这种方法。
发现
像往常一样,我在一次活动中发现了这一点,当时我实际上做了一些完全不同的事情。当时我需要通过锁定的 Citrix 会话查找数据库服务器。根据我 2017 年的一些旧笔记,我知道有一种在 Windows 环境中枚举数据库服务器的本机方法,只需创建一个扩展名为 .udl 的空文件即可。创建该文件后,您可以打开它,您将看到如下所示的 GUI:
这个场景的有趣之处在于,您可以按下顶行的向下箭头(1. 选择或输入服务器名称),然后它将广播可用的 SQL 服务器的网络并将它们列在向下箭头的正下方。这给了我当时所需要的东西;然而,我无法停止思考我在参与初期遇到的困难,因为任何钓鱼邮件都会进入邮箱。出于好奇,我决定从我拥有的一个测试帐户将其发送到我自己的邮箱,看看附件是否会通过。令我大吃一惊的是,它确实通过了!它甚至没有被 Outlook 阻止,这是一件很棒的事情。
这时,我开始研究是否可以在网络钓鱼场景中滥用它,而且,你猜对了,你可以。
有关通用数据链接配置 (UDL) 文件的详细信息
UDL 文件的主要目的是能够测试与数据库服务器的连接。UDL 文件支持各种提供程序,这也在一定程度上取决于主机上安装的内容。但是,最有可能存在的几个标准提供程序。例如,Microsoft OLE DB Provider for SQL Server,这也是新 UDL 文件的默认选择。
打开 UDL 文件时默认显示的是“连接”选项卡,这些字段会根据所选的提供程序而变化。使用默认提供程序时,查看“连接”选项卡,我们可以看到您可以填写服务器名称、在集成安全性之间进行选择,以及选择输入用户名和密码。您还可以选择在服务器上选择一个数据库或将数据库文件附加为数据库名称。
我将把其余选项卡留给您自行探索,但是无需调整这些选项卡的设置即可使其正常工作。因为它实际上并不那么有趣。让我们输入一个服务器名称。将其设置为使用 Windows 集成安全性,然后按“确定”进行存储。
现在,让我们通过在记事本(Nano 旁边最好的编辑器)中打开它来看一下 UDL 文件实际上是什么样子。
就是这样。这就是整个文件。它只是一个文本文件。根据一些实验,注释行需要存在才能作为 UDL 文件工作。您可能还想知道按下“测试连接”按钮时会发生什么。好吧,事情变得有趣了,因为它将尝试连接到端口 1433 上的服务器名称字段中定义的服务器。成功连接后,它将使用集成安全性以用户身份进行身份验证。但是,如果您选择填写特定的用户名和密码,它将作为身份验证的一部分发送。我假设您能看到这在网络钓鱼方面会走向何方。我们需要以借口将其发送给用户,让用户在点击之前按下“测试连接”或填写他们的用户名和密码。现在您已经了解了一些详细信息,让我们看看我们是否可以在网络钓鱼场景中使用它。
使用UDL文件进行网络钓鱼
我们先看看能否使用此技术捕获哈希。首先,在公共 IP 地址上启动 Responder 实例(只需将公共 IP 地址添加到服务器名称中),然后查看按下“测试连接”时会发生什么。如您所见,您现在有一个 NetNTLMv2 哈希(如下面的屏幕截图所示)。
在客户端,您将收到如下所示的错误消息,因此在创建实际借口时请考虑到这一点。
当使用选项让用户填写用户名和密码时,流程将如下所示:
在填写用户名和密码时要注意的一点是,您可以在将其发送给用户之前预先填写用户名,以使借口更可信。
这很酷,但根据我的经验,在大多数情况下,端口 1433 将被阻止从客户端出站,这使得这种技术有点无用。当然,你可以赌一把它会开放,但让我们看看我们能否让事情变得更有趣。让我们将端口更改为更友好的端口,例如端口 80。诀窍是,您只需在名称和 IP 以及端口之间添加逗号即可更改服务器名称字段中的端口,如下所示:servername_or_ip,80。它应该看起来像这样:
唯一的问题是,如果您现在按“测试连接”,Responder 将无法理解该做什么,因为这是一个 MSSQL 连接,而不是标准 HTTP 连接。为了使其正常工作,我们需要稍微调整一下 Responder。我将向您介绍我们需要调整的细微变化,所以不必担心。
首先,您需要更改 responder.conf 文件并关闭 HTTP 服务器。我建议使用 nano,因为它是更优秀的编辑器(是的,这是 TS 中的一个笑话)。
接下来,我们需要更改代码中的端口,以便 Responder SQL 服务器监听 80 端口。将Responder.py 脚本中第 370行的 1433 更改为 80,如下所示:
保存文件并重新启动 Responder,然后尝试将其指向端口 80,然后您应该会得到一个哈希值。现在您可以创建一个借口,并将这个坏家伙的有效载荷发送出去。至于借口,我将留给您自己寻找一个好的借口。如果您想为每个要发送的用户使用一个文件,并预先填写用户名,我有一个 Powershell 脚本,您可以在此处找到它。
结论
正如您所看到的,当您面对现代防御时,深入了解旧知识肯定是一件好事,而 Windows 肯定有很多历史文件格式和遗留的东西。谁会知道这种文件格式可以用于网络钓鱼?我预测,在发布此博客后,微软将开始默认阻止 Outlook 中的 UDL 文件格式,因为这种技术现在已为人所知。
原文始发于微信公众号(Ots安全):使用 udl 文件的新网络钓鱼技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论