SMB ATTACK 绕过安全软件的访问

关于SMB

教学的361蛋,服务器信息块(SMB)协议是一种IBM协议,用于在计算机间共享文件、打印机、串口等。SMB 协议可以用在因特网的TCP/IP协议之上,也可以用在其它网络协议如IPX和NetBEUI 之上。
SMB 一种客户机/服务器、请求/响应协议。通过 SMB 协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。
在 TCP/IP 环境下,客户机通过 NetBIOS over TCP/IP(或 NetBEUI/TCP 或 SPX/IPX)连接服务器。一旦连接成功,客户机可发送 SMB 命令到服务器上,从而客户机能够访问共享目录、打开文件、读写文件,以及一切在文件系统上能做的所有事情。
从 Windows 95 开始,Microsoft Windows 操作系统(operating system)都包括了客户机和服务器 SMB 协议支持。Microsoft 为 Internet 提供了 SMB 的开源版本,即通用 Internet 文件系统 (CIFS)。与现有 Internet 应用程序如文件传输协议(FTP)相比, CIFS 灵活性更大。对于 UNIX 系统,可使用一种称为 Samba 的共享软件。

安全保护

SMB 定义了两级安全保护:

共享级保护

(Share Level Protection)应用于服务器共享目录级。每个共享目录都需要提供一个访问口令。只有口令通过,客户机才能访问所有共享文件。

用户级保护

(Usr Level Protection)应用于共享目录中的单独文件,基于用户访问权限。每个用户(客户机)必须登录服务器并且获得服务器的认证许可。一旦认证通过,客户机会获得一个 UID .在后来客户机访问服务器的过程中都需要使用该 UID 。

Active Directory

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。

Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
活动目录(Active Directory)主要提供以下功能:

  1.   基础网络服务:包括DNS、WINS、DHCP、证书服务等。
  2.   服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
  3.   用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
  4.   资源管理:管理打印机、文件共享服务等网络资源。
  5.   桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
  6.   应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

ntds.dit

在Windows 2000操作系统中,为配合企业需要,并增加windows的网络管理功能,发展了一种新类型的目录服务–活动目录(active Directory),在活动目录中包含了active directory域中所有相关资源的对象及该域用户的相关信息,该域的策略和其他重要的域服务信息。可以说,活动目录采用了与原来NT系统完全不同的方 式保存数据信息。
Windows 2000 活动目录数据实际是保存在一个数据库文件中,这个文件就是%SystemRoot%\ntds\NTDS.DIT(文件位置可以在安装时指定,不过必须是 存放在NTFS格式分区上的).ntds.dit文件可以说是整个活动目录的核心,其中包括了用户帐号信息等等的相关资料. 活动目录的数据库引擎被称为http://fuzzexp.org/smb_attack.html ExtensibleStorage Engine ( ESE ),Exchange和WINS都可以利用构建在这个数据引擎上的数据库. ESE存储容量高达16 兆兆个字节,能包含一千万之多的数据对象。只有活动目录的数据库能包含如此多的信息(微软资料宣传的).

SMB的不安全

SMB爆过很多重大BUG。。 这不多讲 你们懂的,当知道了一个SMB的B漏洞以后,攻击方法总是很多

一般的到这个时候久进行Authenticated User Code Execution 攻击,通过口令或者溢出执行SHELLCODE,如果游杀毒软件或者安全软件,很难成功
Metasploit提供了很多模块,针对SMB攻击绕过杀毒,例如

和进行提取Ntds.dit数据库导出的数据表中的Active Directory的HASH

结果保存到了本地 http://fuzzexp.org/smb_attack.html

提取NTDS.dit

查看数据

参考:

http://www.accuvant.com/blog/2012/11/13/owning-computers-without-shell-access
http://www.pentestgeek.com/2012/11/16/dumping-domain-password-hashes-using-metasploit-ntds_hashextract-rb/
http://www.91ri.org/4783.html
http://fuzzexp.org/domain-invasion-of-keimpx.html
http://fuzzexp.org/pass-the-hash-with-nexpose-and-metasploit.html
http://fuzzexp.org/metasploit-post-module-smart_hashdump.html
http://fuzzexp.org/smb_attack.html

本文作者dis9 team 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。