PS:本文仅用于技术分析,禁止用于其他非法目的。 今天推出的是一个名为SMBetray的工具,它是一种SMB中间人攻击工具,可以通过文件内容交换,lnk交换和明文数据入侵攻击目标客户端。
SMBetray 此工具允许攻击者拦截和修改不安全的SMB连接,并且在已知证书的情况下,该工具还可以侵入某些安全的SMB连接。 背景内容 该工具在Defcon 26上发布,演示主题为“SMBetray - 后门和签名攻击”。 在SMB连接中,需要安全机制来保护服务器和客户端之间传输的数据的完整性,这种安全机制是SMB签名和加密。首先,在签名过程中,您需要从服务器获取密钥和证书,签署SMB数据包,最后通过网络发送数据包。如果用户密码已知,则攻击者可以重新创建SessionBaseKey和所有其他SMB密钥,并使用它们修改SMB数据包,然后重新签名修改后的数据包。此外,许多网站管理员默认禁用签名功能,因此这种类型的攻击更有效。 特征 1.被动下载通过有线网络发送的任何文件的明文数据; 2.将目标客户端降级为NTLMv2(而不是Kerberos); 3.当用户访问目标目录时,将文件注入目标目录; 4.使用同名的lnk文件替换所有原始文件,并在用户单击后执行攻击者指定的命令或代码; 5.仅使用具有相同名称的lnk文件替换目标系统中的可执行文件,并在用户单击后执行攻击者指定的命令或代码; 6.使用攻击者注入的本地目录中的文件内容(扩展名“X”)替换目标系统中扩展名为“X”的文件内容。扩展名可以区分大小写; 工具安装 该工具要求系统使用iptables,安装命令如下: Sudo bash install.sh 工具使用 首先,在目标系统,网关或目标网络上执行双向arp-cache感染攻击,例如: Sudo arpspoof -i< iface> -c both -t< target_ip> -r< gateway_ip> 接下来,运行smbetray和相关的攻击模块: Sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll'powerhell -noP-sta -w 1 -enc AABCAD .(etc)' - I eth0 演示 单击[此处]以查看该工具的使用示例。 *参考源:smbetray,FB编辑Alpha_h4ck编译,从FreeBuf转移