Tags：系统安全(735)攻击方式(4)SMB(1)中继攻击(1)　　

　　起首，介绍一下SMB中继报复打击的运作道理

　　假定左边的主机为A，右边的主机为B

　　A试图拜候B的共享办事

　　第一步 A对B说：骚年，请让我登岸

　　第二步 B对A说：骚年，我给你一个challenge，请先把你的暗码Hash和challenge加密一下返回给我，我得确认你是不是有权限

　　第三步 A对B说：我加密好了，给你

　　景象一：

　　第四步 B对A说：嗯，对的，请进(认证结束)

　　景象二：

　　第四步 B对A说：骚年，不合弊端，你的身份不克不及登岸，你可以尝尝以他人的身份来登岸

　　第五步 A对B说：好嘛，我用你之前奉告我的身份尝尝，回到第一步，轮回下往

　　此刻，假定加进了一名第三者C到二者之间，C诡计查看B的隐私，C会如何做?

　　上图就是C的做法

　　第一步 A对C说：骚年，请让我登岸

　　第二步 C对B说：骚年，请让我登岸

　　第三步 B对C说：骚年，我给你一个challenge，请先把你的暗码Hash和challenge加密一下返回给我，我得确认你是不是有权限

　　第四步 C对A说：骚年，我给你一个challenge(这是B发出的challenge)，请先把你的暗码Hash和challenge加密一下返回给我，我得确认你是不是有权限

　　第五步 A对C说：我加密好了，给你

　　第六步 C对B说：我加密好了，给你

　　景象一：

　　第七步 B对C说：嗯，对的，请进(认证结束，C替代A获得了权限)

　　第八步 C对A说：骚年，不合弊端，你的身份不克不及登岸(A的认证结束)

　　景象二：

　　第七步 B对C说：骚年，不合弊端，你的身份不克不及登岸，你可以尝尝以他人的身份来登岸

　　第八步 C对B说：好嘛，我用你之前奉告我的身份尝尝

　　第九步 C对A说：骚年，不合弊端，你的身份不克不及登岸，你可以尝尝以他人的身份来登岸

　　第十步 A对C说：好嘛，我用你之前奉告我的身份尝尝，回到第一步，轮回下往

　　OK，你可以看出，A和B都被C棍骗了，这较着是一场中间人报复打击

　　这里面还有一处不合理的处所，不知道你发现没有，A想和B对话，如何会和C吹起牛来了呢?

　　必定是A误觉得C就是B，C是如何做到的呢?

　　下面就来切磋一下C的哄人手法，假定你是C你会如何做呢?

　　1. NBNS棍骗，前提

　　a) A B C必需都处在统一个局域网下面

　　b) A寻觅B是用的B的计较机名而不是B的ip

　　2. DNS劫持，前提

　　a) A寻觅B是用的B的域名而不是B的ip

　　下面就让我们来重演一下此次报复打击!

　　编制1：NBNS棍骗 + SMB中继

　　出品人：

　　A winxp 192.168.30.129

　　B win2k3 192.168.30.130 计较机名：smbserver

　　C kali 192.168.30.145

　　Kali msf下利用smb_replay模块，设置SMBHOST为B(192.168.30.130)

　　Kali msf下利用nbns_response模块将B的计较机名(smbserver)解析到C的IP(192.168.30.145)

　　Winxp 拜候smbserver的共享

　　OK，到Kali下看当作果

　　Cool，我们成功拿到了B的Meterpreter shell

　　道理：NBNS是广播的，所以C只需要赶在B之前奉告A：“C的计较机名是smbserver”就好了

　　编制2：DNS劫持+SMB中继

　　出品人：

　　A winxp 192.168.30.129

　　B win2k3 192.168.30.130 域名：share.百度.com

　　C kali 192.168.30.145

　　因为虚拟机有限，我将B摹拟成一台内网中被黑掉落的DNS办事器

　　Kali msf下利用smb_replay模块，设置SMBHOST为B(192.168.30.130)

　　将DNS办事器的 share.百度.com 域名指向C(192.168.30.145)

　　Winxp 拜候share.百度.com的共享

　　OK，到Kali下看当作果

　　成功拿到B的shell

　　假定你很寄望细节，你应当会有一个标题问题，假定我们将NBNS棍骗和DNS劫持同时启用，但指向不合的IP会有如何的结果?

　　我将奉告你：只有DNS劫持会起感化

　　看下图就知道了

　　A先拜候一个不存在的名字，同时抓取数据包

　　你可以看出A(192.168.30.129)发出的第一个数据包是DNS查询

　　上面的两种报复打击都是在A先试图想和B措辞酿成的，假定他们本来就不如何联系那我们岂不是要等好久?

　　这太被动了，我必需改变这类场合排场!!如何改呢，下面就是我想说的了 >_<

　　UNC报复打击+SMB中继

　　出品人：

　　A winxp 192.168.30.129

　　B win2k3 192.168.30.130

　　C kali 192.168.30.145

　　因为虚拟机有限，我将B摹拟成一台被黑掉落的WEB办事器(域名www.caoliu.oh)

　　治理员每天都喜好在小我机上拜候草榴网，看看有甚么新的资本

　　我知道他会如许，所以我先拿下了草榴的WEB权限，然后在首页插进了如许的一个链接

　　

　　很不幸，这张图他不会看到，假定他的小我机的账户及暗码是和办事器是一样的，呵呵，他的办事器就这么沦亡了。可是有一个前提 A B C的共享都是彼此可拜候的，假定小我机在防火墙外，那这就不成行了。

　　道理就是如许，不插图了，本身脑补一下就好了 >_<

　　SMB中继进级版

　　上面都是A拜候B导致B被黑掉落，并且UNC报复打击还需要在账户及暗码一样的环境下才能成功，这太二了，既然可以SMB中继，为何我们不把A的流量中继到A本身，那样账户和暗码必然是对的。假定A开启了共享，且可被C拜候，那么必然会报复打击成功。好了，就到这里，具体的本身尝试吧!