SMBetray:一款SMB中間人攻擊工具分享
PS:本文僅作技術分析,禁止用於其他非法用途
今天給大家介紹的是一款名叫SMBetray的工具,這是一款SMB中間人攻擊工具,該工具可以通過檔案內容交換、lnk交換和明文資料入侵來對目標客戶端實施攻擊。
SMBetray
該工具可允許攻擊者攔截和修改不安全的SMB連線,在已知證書的情況下,該工具還可以入侵某些安全的SMB連線。
背景內容
該工具釋出於Defcon 26上,相關演講主題為“SMBetray – 後門與簽名攻擊”。
在SMB連線中,需要使用安全機制來保護伺服器和客戶端之間傳輸資料的完整性,而這種安全機制就是SMB簽名和加密。首先,在簽名過程中需要從伺服器端獲取金鑰和證書,並對SMB資料包進行簽名,最後再通過網路傳送資料包。如果使用者密碼已知,那麼攻擊者就可以重新建立SessionBaseKey和所有其他的SMB金鑰,並利用它們來修改SMB資料包,然後對修改後的資料包進行重新簽名。除此之外,很多網站管理員預設會禁用簽名功能,因此這種攻擊方式的效率也會比較高。
功能介紹
1.被動下載通過有線網路傳送的任意檔案明文資料; 2.將目標客戶端降級為NTLMv2(而非Kerberos); 3.當目標目錄被使用者訪問後,向目標目錄中注入檔案; 4.用同名的lnk檔案替換掉所有的原始檔案,並在使用者點選後執行攻擊者指定的命令或程式碼; 5.僅用同名的lnk檔案替換目標系統中的可執行檔案,並在使用者點選後執行攻擊者指定的命令或程式碼; 6.用攻擊者注入的本地目錄中的檔案內容(副檔名為“X“)替換目標系統中副檔名為“X“的檔案內容,副檔名可區分大小寫;
工具安裝
該工具要求系統可使用iptables,安裝命令如下:
sudo bash install.sh
工具使用
首先,對目標系統、閘道器或目的網路執行bi-directional arp-cache感染攻擊,比如說:
sudo arpspoof -i <iface> -c both -t <target_ip> -r <gateway_ip>
接下來,執行smbetray以及相關的攻擊模組:
sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll "powershell -noP-sta -w 1 -enc AABCAD....(etc)" -I eth0
Demo
點選【 ofollow,noindex" target="_blank">這裡 】檢視該工具的使用樣例。
*參考來源: smbetray ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM