前言
中间人攻击可以危害到从合法客户端到服务端信道的完整性,导致两者无法实现可信的信息交互
相关历史与利用
工具的出现
2001年Sir Dystic发布了一个SMBRelay的工具,本意是提供SMB服务,并且收集传入的SMB流量中用户名和哈希值的工具。(其实中间人攻击的历史非常悠久,在信息角度来讲据说最早起源于春秋时期)
工具与协议的漏洞
SMBRelay不仅仅加班一个普通的SMB端点,而且可以实施MITM攻击——利用SMB/NTLM身份认证协议实现中的漏洞,这个漏洞在1996年就被人以论文的形式发现。SMBRelay能够作为一台假冒的服务器,捕获网络口令哈希值,并导入到破解工具中。也允许攻击者在客户端和服务器之间插入自己来转播合法客户端身份认证交换,并使用这一客户端的相同特权访问服务器。如果这个客户端有管理员权限,攻击者可以通过这些权限使用shell访问目标系统。使用这一技术,攻击者可以中转链接,并且可以链接回发起这一连接的客户端自身(SMB证书反射攻击),或者连接回能够接受该客户端提供的证书信息的任/意其他服务器(SMB证书转发攻击)。不过在2008年,微软公司发布了一个补丁,该补丁修复了反射攻击这种情况,转发攻击依旧是威胁
攻击方式
MITM攻击可以通过ARP毒化攻击、DNS重定向和其他重定向攻击。一般来说常见的漏洞攻击包括:攻击者迫使受害者链接和认证到攻击者自己的恶意SMB服务器上;HTML链接或者发送点在邮件将受害者骗到恶意web服务器上;通过使用SMB协议获得受害者资源。
现代工具的使用
Squirtle和SmbRelay3
这些工具允许中转各种连接的NTLM认证,既可以是使用SMB协议的连接,也可以是使用想Http、IAMP、POPS和SMTP的连接
Cain
这个工具提供了SMB MITM攻击能力:把内置的ARP毒化路由(ARP Poison Routing)特性和NTLM查询仿冒与降级攻击功能结合起来。使用者可以通过APR将本地网络的通信数据重定向给自己,并且通过降级工具降低终端的Windows安全级别。