经过RPC协议中继NTDDoS高防LM身份验证渗透测试总结-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 经过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

经过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

小墨安全管家 2020-05-28 09:36 CC防护 89 ℃
DDoS防御

身份验证和完整性

MS-TSCH是治理打算任务的协议,在atexec.py中使用,这是否意味着我们能够中继NTLM身份验证并使用预定的任务执行代码?固然是的。

通过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

测试了以下场景:

3. 检查你的Active Directory ACL:应该使用最小特权原则;

NTLM中继101

Remote Juicy Potato:在“打印机错误”的线索中发觉一具错误会特别有味,该错误会触发经过RPC远程验证到给定主机的调用。

有时(通常是在旧的Exchange服务器上),一具计算机帐户是另一台计算机的治理员。

谁会使用RPC?

一些有味的用例

3. 断开MIC :或怎么彻底绕过继电器爱护。

通过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

结果,将创建一具新用户并将其添加到本地Administrators组。

由于没有针对RPC协议的全局完整性验证要求,中间人攻击者能够将受害人的NTLM身份验证中继到经过RPC协议挑选的目标。假如受害者在目标上具有治理特权,则攻击者能够在远程目标上执行代码,那个攻击是在一具彻底打了补丁的Windows Server 2016域操纵器上测试的。

示例回忆

MS-DCOM:服务器应注册[MS-RPCE] 2.2.1.1.7节中指定的一具或多个安全提供程序,安全提供者的挑选取决于实现。

2. 系统治理员还能够使用WMI手动执行远程任务,大概使用特权帐户。

CVE-2020-1113

1.所有通过测试的iOS版本都容易受到攻击,包括iOS 13.4.1;2.依照我们的发觉,这些漏洞基本上在iOS 11.2.2或更高版本上主动触发的;3.iOS 6及更高版本容易受到攻击,iOS 6于2012年公布,iOS6之前的版本大概也会受到攻击,但我们尚未检查较早的版本。因为在iOS 6发行时,iPhone 5已上市。

下面的调用树是从崩溃日志中提取的,惟独选定的一些设备才会发生崩溃。经过分析MIME库,-[MFMutableData appendBytes:length:]的伪代码如下:在崩溃发生之前执行以下调用堆栈:假如数据大小达到阈值,则使用文件存储实际数据,当数据更改时,应相应更改映射文件的内容和大小,系统调用ftruncate()被inside -[MFMutableData _flushToDisk:capacity:]调用以调整映射文件的大小。ftruncate的关心文档是如此讲明的:如上所示,假如调用失败,则返回-1,同时全局变量errno指定漏洞。这意味着在某些事情下,此系统调用将无法截断文件并返回漏洞代码。然而,在ftruncate系统调用失败时,_flushToDisk不管怎么都会然后,这意味着映射的文件大小不大概扩展,执行最后来会到达appendBytes()函数中的memmove(),从而导致mmap文件浮上超出边界(OOB)的写入。

能够找到其他向量来获得传入的RPC连接:

注意:此监控解决方案需要具有治理权限的凭据,一旦猎取治理权限的凭据,此帐户将尝试连接到网络中的所有主机。

HTTP→LDAP(PrivExchange);

在对iOS数字取证和事件响应(DFIR)举行例行调查之后,研究人员发觉了一些可疑事件,这些事件早在2018年1月就阻碍了iOS上的默认邮件应用程序。研究人员分析了这些事件,发觉了一具阻碍苹果iphone和ipad的可利用漏洞。ZecOps在特别长一段时刻内,在企业用户、vip和mssp上检测到该漏洞的多个触发器。

为了使这种攻击奏效,攻击者就必须处于中间人的位置。这能够使用传统的欺骗技术(ARP,DNS,LLMNR和Netbios等),或者经过一具错误或误用的特性(打印机错误、Juicy Potato等)触发到攻击者机器的连接来实现。

https://github.com/CompassSecurity/impacket

通过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

此攻击依靠于几个漏洞,CVE-2020-1113不过其中之一。以下是一些解决潜在漏洞的缓解措施:

NTLM中继已在多种攻击中使用和重用:

攻击者将安装我们的自定义版本的impacket,并在其IP为172.16.100.21的主机上启动该工具,他想在目标172.16.100.1上添加本地治理员(名为compass):

在我们的设置中,攻击者计算机具有IP 172.16.100.21,目标计算机DC是具有最新补丁程序版本的Windows Server 2016,同时具有IP 172.16.100.1。受害用户WINLAB \scooper-da在DC计算机的本地Administrators组中,并使用IP 172.16.100.14从该计算机打开一具SMB连接。

受阻碍的库:/System/Library/PrivateFrameworks/MIME.framework/MIME;易受攻击的函数:-[MFMutableData appendBytes:length:]。

# net view \\172.16.100.21\noshare\ 

经过受害者触发连接

RPC→RPC:假如你在受害计算机上具有低特权会话,则能够使用RottenPotato触发与攻击者计算机的RPC连接并将其中继到目标。

研究人员发觉,MIME库中MFMutableData的实现缺少对系统调用ftruncate()的漏洞检查,该漏洞导致越界写入。我们还找到了一种无需等待系统调用ftruncate失败即可触发OOB-Write的想法。此外,我们发觉了能够远程触发的堆溢出。众所周知,这两种漏洞基本上能够远程触发的。OOB写入漏洞和堆溢出漏洞基本上由于相同的漏洞而引发的,即未正确处理系统调用的返回值。远程漏洞能够在处理下载的电子邮件时触发,在这种事情下,电子邮件将无法彻底下载到设备上。

漏洞详情

在本文中,我们建议从impacket到基本特别好的ntlmrelayx中添加对RPC协议的支持,并探究它提供的新渗透测试想法。

滥用计算机帐户

定义

下图给出了NTLM中继攻击的简化视图:

1. 及时修补你的Windows!

编码

3. MSRPC(aka MS-RPCE)是Microsoft的DCE / RPC的修改版本;

攻击者充当客户端的服务器,并充当服务器的客户端。他从客户端消息中提取NTLM身份验证块,并将其放入服务器的修改后的消息中,反之亦然。最终,他能够依照需要使用通过身份验证的会话。

滥用用户帐户

2. PrivExchange:或怎么从拥有Exchange邮箱的任何用户升级为Domain Admins;

通过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

在失败的攻击中,攻击者发送的电子邮件将显示消息:“此消息无内容。”

利用漏洞后的异常行为

几年来,不断有人利用NTLM中继了大量内容,以提升Windows网络中的特权。


DDoS防御

当前位置:主页 > CC防护 > 经过RPC协议中继NTDDoS高防LM身份验证渗透测试总结

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119