如何利用XXE漏洞獲取NetNTLMHash并通過SMBRelay取得權(quán)限

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)如何利用XXE漏洞獲取NetNTLM Hash并通過SMB Relay取得權(quán)限，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

十載的雙塔網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。成都全網(wǎng)營銷的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整雙塔建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)從事“雙塔網(wǎng)站設(shè)計”,“雙塔網(wǎng)站推廣”以來，每個客戶項目都認(rèn)真落實執(zhí)行。

首先，在這里我要向大家道聲抱歉！原本在去年圣誕節(jié)時，我就承諾要為大家做這個分享的。但由于一直忙于手頭的各種瑣事，所以一直拖到了現(xiàn)在。話不多說，我們直切正題！

什么是XML/XXE注入

外部實體注入攻擊：XML文件的解析依賴libxml庫，而libxml2.9以前的版本默認(rèn)支持并開啟了外部實體的引用，服務(wù)端解析用戶提交的xml文件時未對xml文件引用的外部實體（含外部普通實體和外部參數(shù)實體）做合適的處理，并且實體的URL支持file://和php://等協(xié)議，攻擊者可以在xml文件中聲明URI指向服務(wù)器本地的實體，從而就會發(fā)生這種攻擊。

例如，以下是一個用于漏洞利用的PoC代碼：

任務(wù)：

在滲透測試期間，我需要對一個托管文檔和文件的Web應(yīng)用程（如SharePoint）進(jìn)行審計，以將其分享給其他的同事使用。經(jīng)過一番測試，我找到了一些XSS/CSRF漏洞，并成功繞過防護(hù)機(jī)制。這個應(yīng)用有一個特性引起了我的關(guān)注，它可以上傳Microsoft文檔格式，如.Docx。

我記得，我的一個朋友當(dāng)時通過一個嵌入的XML代碼就成功拿下了Facebook的服務(wù)器。

感謝@bbuerhaus 和 @nahamsec托管XXE服務(wù)（一個可以通過XXE預(yù)定義payload生成Microsoft文件的服務(wù)）。

以下是我的第一個payload：

可以看到通過NC，172.28.1.116成功與我建立了連接！

現(xiàn)在，我們能做些什么呢？

由于我知道當(dāng)前我處理的系統(tǒng)為Windows，因此不能像在Linux中那樣讀取像/etc/passwd這樣的敏感文件路徑。我唯一想到的就是，Windows的系統(tǒng)配置文件/windows/win.ini。還好當(dāng)時坐在我旁邊的同事提醒我：“關(guān)于Windows最重要的是NTLM哈?！?。

這一次我修改了我的payload，并將其指向了我的共享IP地址：

B00M :D

我能夠從SSL證書掃描中識別其他服務(wù)器（處理不同環(huán)境的相同角色），以及最重要的是SMB消息沒有簽名！

這些信息足以讓我們對其發(fā)起SMB中繼攻擊：

首先，讓我們嘗試做一些基本的RCE :( Ping）

通過抓包工具可以清楚的看到ping的完整過程：

讓我們來創(chuàng)建一個用戶：

將他添加到管理員組后，我可以在服務(wù)器上做一個RDP遠(yuǎn)程桌面連接。

好吧，我承認(rèn)當(dāng)時我還并不知道Impacket有一個很nice的用于轉(zhuǎn)儲SAM文件的功能。如果我們只是想指向中繼服務(wù)器的IP，則不需要添加任何其它參數(shù)：

現(xiàn)在我們獲取到了管理員的哈希。讓我們在網(wǎng)絡(luò)中刪除哈希，看看會有什么結(jié)果。

使用Metasploit中的smb掃描模塊，我命中了41個掃描結(jié)果。真的是太棒了！

在對這些服務(wù)器使用PSExec exploit后，其中一個引起了我的關(guān)注：

B00M !!

此帳戶是域管理員的成員，讓我們通過創(chuàng)建另一個用戶來模擬該會話，但這次是：域管理員的成員；

讓我們來驗證下：

使用此帳戶，我可以訪問所有DC，PC，甚至轉(zhuǎn)儲包含用戶所有哈希值的NTDS.DIT文件 :D

XXE漏洞對于企業(yè)內(nèi)部網(wǎng)絡(luò)來說破壞性不可小覷，特別是在滿足所有條件的情況下（解析外部XML實體+SMB消息未簽名）。

上述就是小編為大家分享的如何利用XXE漏洞獲取NetNTLM Hash并通過SMB Relay取得權(quán)限了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)站題目：如何利用XXE漏洞獲取NetNTLMHash并通過SMBRelay取得權(quán)限
分享地址：http://muchs.cn/article20/ispejo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、品牌網(wǎng)站制作、移動網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化、面包屑導(dǎo)航、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)