Перехват паролей Windows в локальной сети

Перехват паролей Windows в локальной сети

В мире Kali Linux существует различные способы настроить листенер SMB и перехватить пароли Windows в локальной сети. В этой статье мы рассмотрим способ перехвата попыток авторизации с помощью популярного фреймворка Metasploit.

Еще по теме: Атаки на службы сертификатов Active Directory

Сценарий перехвата паролей Windows в локальной сети

Представьте, что у вас есть физический доступ к объекту пентеста. Прогуливаясь по офису, вы замечаете сканер. Вы видите, как сотрудники подходят к устройству с бумагами в руках, сканируют документы, а затем возвращаются к своим столам.

В такой ситуации, скорее всего, сканер сохраняет полученные изображения в общую папку, чтобы пользователь смог получить к ним доступ со своего компьютера. Для этого принтер должен аутентифицироваться в общей папке. Принтеры часто используют учетными данными администратора по умолчанию, что позволяет нам изменить конфигурацию. Используемые учетные записи часто являются администраторами домена или, по крайней мере, имеют разрешения на доступ к конфиденциальным данным.

Идея состоит в том, чтобы временно изменить путь общего ресурса на Kali Linux, а потом после перехвата попытки аутентификации, быстро все вернуть обратно, чтобы свести к минимуму любые подозрения. Пользователи скорее всего, сочтут, что это временный сбой и не будут вызывать сисадмина.

Если вы новичок, тогда рекомендую изучить гайд по использованию Metasploit.

Итак запускаем консоль Metasploit следующей командой:

Фреймворк Metasploit поставляется со вспомогательными модулями, которые очень помогают в пентесте, так как могут выполнять такие вещи, как фаззинг или, в нашем случае, захват аутентификационных данных сервера.

Для получения информации о модулях Metasploit, выполните команду:

Для перехвата паролей Windows в локальной сети, мы будем использовать вспомогательный модуль захвата SMB.

Настройка листенера SMB

В командной строке MSF запускаем конаду:

Как и к с другими модулями Metasploit, можно просмотреть параметры и аргументы запуска листенера SMB:

Следующий снимок экрана иллюстрирует вывод предыдущей команды:

Параметры модуля захвата SMB

Рассмотрим эти настройки более подробно:

  • CAINPWFILE определяет, где будут храниться захваченные хэши в формате Cain.
  • CHALLENGE определяет вызов сервера, который отправляется в начале процесса аутентификации.
  • JOHNPWFILE определяет, где будут храниться захваченные хэши в формате John the Ripper.
  • SRVHOST определяет IP-адрес прослушивающего хоста, т.е. IP вашей машины. Можно использовать значение по умолчанию 0.0.0.0., если не используется несколько интерфейсов.
    разные задания.
  • SRVPORT определяет локальный прослушивающий порт, и, как вы понимаете, мы можем изменить его только в особых случаях. Как правило значение должно быть 445 (SMB через IP).

Описанный здесь процесс запроса/ответа — это NTLMv1. В NTLMv2 добавлен элемент вызова на стороне клиента. Взломщики знают об этом, и модуль SMB покажет вам вызов клиента, когда он перехватит попытку аутентификации.

Определим SRVHOST для IP-адреса, назначенного нашему интерфейсу. Сначала я запущу ifconfig и выполню grep из inet, чтобы увидеть свой IP-адрес.

Использование grep для отображения назначения IP-адреса eth0

Используя команду set, мы определяем SRVHOST с нашим IP-адресом — вот и все. Хотя технически это не эксплойт, мы используем ту же команду для запуска нашего модуля.

Настройка и запуск листенера SMB

SMB-слушатель работает, и все, что вам нужно, это указать цель на ваш IP-адрес.

Это создаст HTTP-ссылку, чтобы пользователь мог аутентифицироваться в своем браузере, что потенциально полезно в некоторых сценариях социальной инженерии. Вы даже можете SSL-шифровать сеанс.

Перехват попытки аутентификации

С попытками авторизации, будут появляться результаты:

Перехват пароля Windows в сети с помощью листенера SMB

Теперь для взлома пароля, можно открыть сохраненный файл отчета в John the Ripper. Имейте в виду, что модуль присвоит файлу имя, указанное вами как JOHNPWFILE, и объединит обнаруженный алгоритм хеширования.

Учетные данные в формате John the Ripper

В этом примере цель передает учетные данные NTLMv2.

Эта атака сработала, но есть один нюанс: для реализации нам пришлось обмануть устройство, чтобы оно попыталось пройти аутентификацию на нашей машине Kali Linux. Что касается принтера, нам пришлось изменить его конфигурацию, а успешная атака означает потерю данных для ничего не подозревающего пользователя, что требует хорошего планирования, если мы хотим, чтобы сотрудники не заподозрили атаку.

В следующей статье я покажу, более продвинутый способ перехватить пароли Windows в локальной сети, без изменения конфигурации подключенных устройств.

РЕКОМЕНДУЕМ:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *