-
您的位置:首页 → 网络冲浪 → 黑客天空 → 非主流入侵之会话劫持winnt/2k HASH的深入研究
非主流入侵之会话劫持winnt/2k HASH的深入研究
时间:2004/10/8 16:40:00来源:本站整理作者:蓝点我要评论(4)
-
自从上次发布了SMBPROXY的测试动画后,就有网友问我:“能否通过网页抓取浏览者的HASH值?”因为SMBPROXY只认可pwdump格式的密码信息,其他格式都不行,所以如果通过构造一个特殊的网页,能够抓取浏览者的HASH值,并能转化为PWDUMP认可的格式,那么我们就有可能完全控制浏览者的机器。
第一次听说XHACKER和HAOWAWA通过网页抓HASH的时候,觉得不太可能,第2天跑到他们论坛里翻了一遍,也没有找到相关的帖子,没办法,只好自己动脑子了。以往获取HASH的方法就是入侵到对方机器里,抓取SAM,然后用LC4暴力破解,还有就是用PWDUMP抓,不过这2种方法需要的条件都比较苛刻。本来想了好久也没有头绪,昨天看到小雨兄写的帖子,里面提到了CAIN这个工具,忽然记起来以前在3389肉鸡上通过IPC到自己机器上拷工具的时候,CAIN的SNIFFER模式就记录下一些SMB会话过程。里面包含TIME,SMB SERVER,CLIENT,USERNAME,DOMAIN,LN HASH,NT HASH,NT SERV-CHALL,LM CLI-CHALL,SESSION KEY以及登陆结果。虽然当时只提交了一次验证过程,可是往往嗅探到很多次SMB会话。考虑到这可能就是问题的突破口,我再次登陆到肉鸡上,并将这次的过程详细记录下来:
先打开自己机器上CAIN的SNIFFER模式。登陆到3389肉鸡上(登陆时用户名是USER,密码是1982),进去后在“开始”--“运行”里填上“\\218.197.248.212\C$" (这里218.197.248.212是我自己机器的IP),很快弹出熟悉的验证框,上面填用户名,下面是对应的密码。虽然这时候我还没填任何资料,不过本地机器上已经嗅探到了12个SMB会话,其中SMB SERVER一栏都是我的IP,CLIENT都是肉鸡的IP,USERMANE的名字则是USER,DOMAIN栏是肉鸡的机器名。这里的12个会话结果都是失败。当我用ADMINISTRATOR(密码是753951,这个用户是我自己机器上的管理员帐号)进入自己C盘的时候,CAIN又嗅探到一个SMB会话过程,用户名是和前面的不同,是ADMINISTRATOR,而这次的登陆结果显示成功。此时我们感兴趣的是前面的12个会话过程是如何建立的,那些嗅到的HASH值破解出来的密码究竟会是什么?我用CAIN把这12个值全部导入CRACKER,选择“TEST PASSWORD”一项,当密码填入1982的时候,显示密码破解成功,虽然这12个会话里的HASH值都不一样,但是实质上密码都是1982。到了这里,可以猜测到WIN2K验证机制如下:当一台WIN2K主机企图访问另外一台WIN2K机器共享资源的时候,会先发出登陆请求,假设此时请求主机上用户名是ABC,密码是123,它会先用ABC(123)尝试登陆远程主机,当发现密码错误不能登陆的时候,再弹出我们常见的验证框,让用户自己填用户名和密码。知道了这个原理,我先用ABC(密码123)登陆到远程主机,再“开始”--“运行”里填“\\218.197.248.212\c$",很快出现了验证框,点击取消,然后在自己机器上建立一个管理员,帐号密码也是ABC(123),此时再重复上面的行为,这次不需要验证,直接进入我的C盘!
为了再次验证自己的想法,假设知道218.197.248.253的ADMINISTRATOR的密码是123456,我把自己ADMINISTRATOR密码改成123456,注销后再登陆,当输入“\\218.197.248.253\C$"时,不需要任何验证过程,也可以直接进入对方硬盘!
既然知道如上的原理,我们可以构造如下的网页
本网页可以抓取你的HASH