freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何绕过Duo的双因素身份验证
2018-08-21 13:00:27
所属地 浙江省

写在前面的话

通常,在执行渗透测试时,一般通过远程桌面协议(RDP)连接到系统。我通常使用rdesktop或xfreerdp连接到主机,一旦获得凭据就可以为所欲为了。我最近碰到一件很操蛋的事就是一个我的客户端使用Duo保护对Windows上的RDP的访问。特别是当3389是唯一打开端口,上次发生这种情况时,我在Pen Test Partners上找到了Alex Lomas的一篇文章,详细的介绍了用来绕过这种情况的方法。

这些攻击方法是有效的,前提是目标已经将它们的Duo配置为“fail open”。这实际上很常见,因为它默认设置为关闭。 1.png在这篇文章我将通过两种方式演示如何绕过:

1.假设:您可以在系统上获得shell将使用本地bypass

2.假设:您无法访问系统将使用网络攻击。

本地bypass

关于如何获得shell的方法。我通常使用CrackMapExec + Metasploit或wmiexec.py,但有很多选择。通过不需要2FA的方法进入目标后,运行下面命令:ipconfig /displaydns
2.png我通常会把它导入到一个文件中,以防它体积太大,然后需要解析它并以找到Duo API DNS条目。每个Duo安装都会有一个与之对话的不同API端点。
3.png如果由于某种原因DNS缓存中没有内容,则可能需要身份验证。如果一定要这样做,请避免使用您知道已注册Duo的帐户,因为这可能会向其手机发送推送消息,短信或电子邮件。下一步是编辑系统上的hosts文件。这需要管理员访问。
4.png
继续并备份原始主机文件。完成后,修改当前主机文件。可以通过将单个条目附加到Duo API端点映射到localhost来完成。现在,如果Duo设置为"fail open",您现在可以使用用户名和密码进入系统。完成后恢复hosts文件。

网络bypass

如果您没有管理员凭据或SMB/WMI/etc,则可以使用中间人(MITM)攻击来访问Duo API。要执行这个操作,可以使用Bettercap。我们将使用它执行ARP欺骗攻击和DNS欺骗攻击。第一步是执行ARP欺骗。目标需要设置为我们试图访问的IP。Bettercap会欺骗主机相信我们是默认网关。要执行此攻击,攻击者必须与受害者位于同一广播域中。安装运行Bettercap后,输入:

>set arp.spoof.targets [VICTIM IP]
>arp.spoof on

Bettercap将自动启用转发功能。注意:您必须以root身份运行Bettercap才能启用转发:
5.png在ARP欺骗工作之后,您将需要执行DNS欺骗。在Bettercap中输入:

>set dns.spoof.domains *.duosecurity.com
>dns.spoof on

这将修改对Duo security子域的DNS查询。它将使用攻击者的IP地址进行响应。
6.png在运行中,攻击者现在可以通过RDP登录系统,而无需使用2FA。登录后,退出Bettercap。Bettercap将重新ARP欺骗目标,但可能需要几分钟才能进入DNS条目。

*参考来源n00py,由周大涛编译,转载请注明来自FreeBuf.COM

# 渗透测试
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者