В мире Kali Linux существует различные способы настроить листенер SMB и перехватить пароли Windows в локальной сети. В этой статье мы рассмотрим способ перехвата попыток авторизации с помощью популярного фреймворка Metasploit.
Еще по теме: Атаки на службы сертификатов Active Directory
Сценарий перехвата паролей Windows в локальной сети
Представьте, что у вас есть физический доступ к объекту пентеста. Прогуливаясь по офису, вы замечаете сканер. Вы видите, как сотрудники подходят к устройству с бумагами в руках, сканируют документы, а затем возвращаются к своим столам.
В такой ситуации, скорее всего, сканер сохраняет полученные изображения в общую папку, чтобы пользователь смог получить к ним доступ со своего компьютера. Для этого принтер должен аутентифицироваться в общей папке. Принтеры часто используют учетными данными администратора по умолчанию, что позволяет нам изменить конфигурацию. Используемые учетные записи часто являются администраторами домена или, по крайней мере, имеют разрешения на доступ к конфиденциальным данным.
Статья в образовательных целях и предназначается для обучения этичных хакеров. При написании статьи использовались личные устройства автора. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.
Идея состоит в том, чтобы временно изменить путь общего ресурса на Kali Linux, а потом после перехвата попытки аутентификации, быстро все вернуть обратно, чтобы свести к минимуму любые подозрения. Пользователи скорее всего, сочтут, что это временный сбой и не будут вызывать сисадмина.
Если вы новичок, тогда рекомендую изучить гайд по использованию Metasploit.
Итак запускаем консоль Metasploit следующей командой:
1 |
# msfconsole |
Фреймворк Metasploit поставляется со вспомогательными модулями, которые очень помогают в пентесте, так как могут выполнять такие вещи, как фаззинг или, в нашем случае, захват аутентификационных данных сервера.
Для получения информации о модулях Metasploit, выполните команду:
1 |
show auxiliary |
Для перехвата паролей Windows в локальной сети, мы будем использовать вспомогательный модуль захвата SMB.
Настройка листенера SMB
В командной строке MSF запускаем конаду:
1 |
use server/capture/smb |
Как и к с другими модулями Metasploit, можно просмотреть параметры и аргументы запуска листенера SMB:
1 |
show options |
Следующий снимок экрана иллюстрирует вывод предыдущей команды:
Рассмотрим эти настройки более подробно:
- CAINPWFILE определяет, где будут храниться захваченные хэши в формате Cain.
- CHALLENGE определяет вызов сервера, который отправляется в начале процесса аутентификации.
- JOHNPWFILE определяет, где будут храниться захваченные хэши в формате John the Ripper.
- SRVHOST определяет IP-адрес прослушивающего хоста, т.е. IP вашей машины. Можно использовать значение по умолчанию 0.0.0.0., если не используется несколько интерфейсов.
разные задания. - SRVPORT определяет локальный прослушивающий порт, и, как вы понимаете, мы можем изменить его только в особых случаях. Как правило значение должно быть 445 (SMB через IP).
Описанный здесь процесс запроса/ответа — это NTLMv1. В NTLMv2 добавлен элемент вызова на стороне клиента. Взломщики знают об этом, и модуль SMB покажет вам вызов клиента, когда он перехватит попытку аутентификации.
Определим SRVHOST для IP-адреса, назначенного нашему интерфейсу. Сначала я запущу ifconfig и выполню grep из inet, чтобы увидеть свой IP-адрес.
Используя команду set, мы определяем SRVHOST с нашим IP-адресом — вот и все. Хотя технически это не эксплойт, мы используем ту же команду для запуска нашего модуля.
SMB-слушатель работает, и все, что вам нужно, это указать цель на ваш IP-адрес.
1 |
use auxiliary/server/capture/http_ntlm |
Это создаст HTTP-ссылку, чтобы пользователь мог аутентифицироваться в своем браузере, что потенциально полезно в некоторых сценариях социальной инженерии. Вы даже можете SSL-шифровать сеанс.
Перехват попытки аутентификации
С попытками авторизации, будут появляться результаты:
Теперь для взлома пароля, можно открыть сохраненный файл отчета в John the Ripper. Имейте в виду, что модуль присвоит файлу имя, указанное вами как JOHNPWFILE, и объединит обнаруженный алгоритм хеширования.
В этом примере цель передает учетные данные NTLMv2.
Эта атака сработала, но есть один нюанс: для реализации нам пришлось обмануть устройство, чтобы оно попыталось пройти аутентификацию на нашей машине Kali Linux. Что касается принтера, нам пришлось изменить его конфигурацию, а успешная атака означает потерю данных для ничего не подозревающего пользователя, что требует хорошего планирования, если мы хотим, чтобы сотрудники не заподозрили атаку.
В следующей статье я покажу, более продвинутый способ перехватить пароли Windows в локальной сети, без изменения конфигурации подключенных устройств.
РЕКОМЕНДУЕМ:
- Пентест Active Directory на машине HTB Intelligence
- Сетевая разведка и перехват трафика с помощью ARP