非主流入侵之会话劫持winnt/2k HASH
声明:
本文只是在技术上阐发如何来通过sniffer来挟制winnt/2k的hash,对此文大概造成的危任何责任。
弁言:
近来SMB会话挟制的讨论占据了个大技术论坛不少的地位,吸引了不少人的目光,同时绿盟月刊37期、Phrack杂志60期和安全核心峰会也刊登出了相关的文章,使得SMB会话挟制成为一个热门。由于是window设计上的缺陷,这是一种无法发觉又非常可骇的攻击方法。本文试图从SMB数据包阐发的角度来说明如何截获winnt/2k的hash,具体的完成就不公布了,请读者牢记前面的声明。
说明:
为了使文章有针对性,关于SMB协议以及SMB会话历程就不谈了,用到的时候会一带而过,感兴味的朋侪请自行盘问附录中的参考文档。文中提到的数据包要是没有特别说明都是通过Sniffer pro截获到的,并且为了阐发方便,去掉了物理帧头、IP头和TCP头,只留下NETB和SMB部分。
注释:
假定两台机器,一台为Client A,一台为SMBServer B。
一、session的创建:
设法让A去拜访B的特定资源,孕育发生一个NETBIOS会话。A发送Session request,此中包罗经过编码的NETBIOS名字。B在139端口监听毗连,收到A的request后,B发送Session confirm,此中没有任何内容。这样就创建了一个有用的session。此中Session request数据包的NETB Type为0x81,Session confirm数据包的NETB Type为0x82,可以在步伐中通过果断这两个标志来确定是否孕育发生一个有用的session,然后就可以想办法截获SMB包了。
二、Challenge的失掉:
当有用的session创建后,就开始进行毗连简直认事情了,从这一步中可以失掉B发送给A的由B随机孕育发生的Challenge。
历程如下:A向B发送一个身份认证的恳求,B随机孕育发生一个8字节的Challenge发送给A,这个Challenge就包含在B发回给A的Server Response数据包中。用Sniffer pro截获这个包后,去掉物理帧头、IP头和TCP头,再去掉4个字节的NETB头,剩下的便是SMB包的内容,再去掉33个字节长的SMB Reponse header,然后向后做36个字节的偏移,上面的便是长度为8个字节的Challenge。这样就失掉了我们必要的服务器随机孕育发生的Challenge。
(由于本文的目标在于散列截获的完成,以是数据包内个字节内容的具体含义不做任何解释,只说明地位,下文也遵循这个原则。想深入相识的朋侪请参阅附录的参考文档)
三、LM&NT HASH的失掉:
A失掉B发回的用于加密口令的Challenge后,向B发送创建空毗连的恳求,B前往Server Response包,此时IPC空毗连成功创建。A然后发送LM&NT HASH给B,恳求拜访特定的资源,等候B的容许。我们必要做的便是截获A发送的这个SMB包。上面来看怎么拆解出HASH,还是去掉物理帧头、IP头和TCP头,再去掉4个字节的NETB头,剩下的便是SMB包的内容,再去掉33个字节长的SMB Reponse header,然后向后做28个字节的偏移,上面的24个字节的内容便是LM HASH,紧接着的24个字节便是NT HASH。如今我们就失掉了A主机的LM HASH和NT HASH。
四、HASH的破解
前面曾经失掉了Challenge、LM HASH和NT HASH,如今我们做成lc文件格式,上面便是导入lc4来暴力破解了。lc的文件格式如下:
192.168.0.244 ADMINIST-7Z6A4E\Administrator:"":"":89E5E3F54A998398DC36E89DDD37334C801201CA39C9A5D
3:8457623684F27A5EFA5FE7B647E87C36D78616F80594123C:E3A96FF4507B9EDF
背面的三列数字辨别为LM HASH、NT HASH、Challenge。
五、总结
本文旨在于讨论winnt/2k下SMB会话挟制的完成,相关题目请查阅参考文档。由于入侵方法复杂,并且必要肯定的底子,以是,掌握的人并不多。我曾经尽量写地简略,只要按照以上的步骤去做就能完成,具体的代码完成就不写了,有兴味的朋侪本身去研究吧。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
