SMBリレー攻撃

PS:以下は、理論的な記事ではなく、彼ら自身の実際のテストです。

まず、SMBリレー攻撃の仕組みについて紹介します。

左のホストをA、右のホストをBとすると

AはBの共有サービスにアクセスしようとします。

第一步     A对B说：骚年，请让我登陆
第二步     B对A说：骚年，我给你一个challenge，请先把密码Hash和challenge加密一下返回，我得确认你是否有权限
第三步     A对B说：我加密好了，给你
シナリオ1：
第四步     B对A说：嗯，对的，请进（认证结束）
シナリオ2：
第四步     B对A说：骚年，不对，身份不能登陆，你可以试试以别人的身份来登陆
第五步     A对B说：好嘛，我用你告诉身份试试，回到第一步，循环下去

さて、2人の間に第三者であるCが加わり、CがBのプライバシーを閲覧しようとした場合、Cはどうするでしょうか？

上の写真はCのやり方

ステップ1：AがCに「ログインさせてください」と言う。
ステップ2 CがBに「ログインさせてください」と言う。
ステップ3 BがCにこう言う。「チャレンジしてみるから、パスワードのハッシュとチャレンジを暗号化して返してくれ！
ステップ4 CはAにこう言う。「チャレンジしてみるから、パスワードのハッシュとチャレンジを暗号化して返してくれ！
ステップ5 AがCにこう言う：暗号化したから、どうぞ！
ステップ6 CがBに言う：暗号化したから、どうぞ！
シナリオ1：
ステップ7 BがCにこう言う。
ステップ8 CがAに「ログインできない」と言う。
シナリオ2：
ステップ7 BがCに「ログインできない。
ステップ8 CがBに言った：さて、私はトライのアイデンティティを伝えるためにあなたを使う。
ステップ9：CがAに「ログインできない。
ステップ10 AがCに言った：さて、私はIDに試すよう伝えるためにあなたを使う。

これは明らかに中間者攻撃です。

お気づきかどうか分かりませんが、AはどうやってBと会話をしようとしたのでしょうか？

AがCをBと間違えたのでしょう。

Cの詐欺の手口と、あなたがCだったらどうするか？

1その NBNSスプーフィング、前提条件
a)     A B C同じLANの下でなければならない
b)     ABを見つけるには、Bのipの代わりにBのコンピュータ名を使う。
2その DNSハイジャックの前提
a)     ABがBのipではなくBのドメイン名を使っているのを見つける

以下、攻撃を再現してみましょう！

アプローチ1：NBNSスプーフィング＋SMBトランキング

プロデューサー

A     winxp      192.9
B     win2k3    192.0       コンピューター名：smbserver
C     kali         192.1

Kali msfのsmb_replayモジュールを使い、SMBHOSTをB (192.168.30.130)に設定します。

Kali msfでnbns_responseモジュールを使用して、Bのコンピュータ名をCのIP (192.168.30.145)に解決します。

Winxpからsmbserver共有へのアクセス

では、カリにアクセスして結果をご覧ください。

BのMeterpreterシェルを手に入れました。

原則: NBNSはブロードキャストなので、CはBがAに「Cのコンピュータ名はsmbserverです。

方法2：DNSハイジャック＋SMBリレー

プロデューサー

A     winxp      192.9
B     win2k3    192.0
C     kali         192.1

VMの数が限られているため、Bをイントラネット上のハッキングされたDNSサーバーとしてモデル化しました。

Kali msfのsmb_replayモジュールを使い、SMBHOSTをB (192.168.30.130)に設定します。

では、カリにアクセスして結果をご覧ください。

Bの甲羅の入手に成功。

もしあなたが細部まで気を配っているのであれば、NBNSスプーフィングとDNSハイジャッキングが同時に有効で、異なるIPを指している場合はどうなるのかという質問があるはずです。

DNSハイジャックだけが有効です！

下の写真を見てください

パケットを取得中に存在しない名前にアクセスした場合

A (192.168.30.129)から送信された最初のパケットがDNSクエリであることがわかります。

上記の攻撃はどちらも、AがBに先に話しかけようとしたときに起こりますが、そもそも2人があまり連絡を取っていなかったら、待ち時間が長くなるのでは？

これじゃ受け身だ！！変えなきゃ！！！どう変えればいいのか、これが私の言いたいことです>_<

UNC攻撃＋SMBリレー

プロデューサー

<imgsrc=”192.5rio.jpg”/>

VMの数に限りがあるため、BをハックしたWEBサーバーとしてモデル化しました。

管理者は毎日自分のマシンでGrasshopperにアクセスし、新しいリソースを確認するのが好きです。

そうするだろうと思ったので、まずグラスホッパーのWEBアクセスを削除し、トップページに次のようなリンクを挿入しました。

残念ながら、彼の個人マシンのアカウントとパスワードがサーバーのものと同じであれば、彼はこのイメージを見ることができません。しかし、個人マシンがファイアウォールの外側にある場合、A B Cの共有が互いにアクセス可能であるという前提条件があり、これは実現不可能です。

もう写真はいいから、自分で決めてください>_<

SMBトランキングのアップグレード

SMBリレーができるのだから、AのトラフィックをA自身にリレーすればいいのです。もしAが共有機能をオンにしていて、Cからアクセスできるなら、攻撃は成功するはずです。まあ、今はここまでにして、各自で実験してみてください！

関連記事