转载

用手机从锁定的计算机中偷取凭证信息

简介

Room362之前发布 从锁定计算机中盗取凭证信息 一文,其中的方法很棒。这种攻击方式之所以能成功,主要原因在于系统访问设备的时候,会自动加载设备驱动,即便计算机处在锁定状态也是如此,当然也包括USB网络适配器的驱动程序。

了解到这一点之后,我们就可以尝试用Android网络共享功能——也就是所谓的Tethering来创建网络。启用网络共享功能之后,手机设备就能够接收来自主机的所有通信数据,手机是作为网关存在。这样一来要执行中间人攻击简直轻而易举。

本文中,我将为大家讲解其中涉及的步骤,工具,以及进行一次成功攻击所需要的配置。

Android网络共享功能

Android设备进入USB Tethering网络共享模式的时候,系统会在USB接口新增一个USB接口描述符并重启。

主机操作系统会查询Android设备,也就是通过USB端口连接手机的时候, 它会接收USB网络设备描述符,之后加载驱动程序。

驱动一旦加载,主机操作系统会创建一个新的网络接口(通过USB)。主机处理该网络接口与处理其他接口的方式没有差别。此时USB连接处在活跃状态,主机就会发送DHCP请求来获取IP。

在原生的Android网络共享配置中,系统会用 dnsmasp 建立一个DHCP和DNS服务器来响应该请求。它为主机提供连接到网络所需的IP地址以及路由信息。

在Android Tethering网络共享的具体实施中,这些配置细节是硬编码到Tethering.java程序包中的。显然,在已获得root权限的Android设备中,我们自己动手配置这些信息不是难事。

除此之外, iptables转发规则 可以设置为从USB到外部接口(通常为Wi-Fi或3G)间转发流量。完成这项操作后,主机就可以使用USB网络连接到互联网了(即网络共享功能)。

中间人攻击

攻击者在网络中投放恶意数据包,迫使网络设备连接攻击者的网络,那么发动中间人攻击也就不需要Tethering了。就像前文所说的那样,通过Tethering网络共享连接的话,主机所有的流量都会流经设备。即便设备连接到其他网络,部分网络流量还是会流经USB网络,这对于某些身份凭证信息的泄露已经足够了。

盗取凭证

这一例中,中间人攻击工具我们选择了 Responder 。这是个被动凭证收集工具,Responder监听指定的NetBIOS Name Service(NBT-NS)以及本地链路多播名称解析 (LLMNR)查询。该工具包含了通过TCP和UDP端口监听的欺骗身份验证服务器。受害者被重定向至这些服务器,这样就能获取到这些人的身份验证凭证了。

使用Responder劫持流量并捕获凭证非常高效。特别是当用户在网上的动作比较活跃的时候(例如,浏览网页,访问内部共享等)。

从锁定机器中盗取凭证

该攻击向量首先假定用户不在或者在网络中不活跃。还有些先决条件,用户之前必须已经登录过主机,或者说已经在主机上进行过身份认证,另外当然也需要我们能够实际接触到这台主机及其USB端口。

网络代理自发现协议 ( WPAD )协议可用来自动定位proxy auto-config ( PAC )文件。PAC的位置可以通过DHCP响应“site-local”选项252(即auto-proxy-config)与“ http://example.com/wpad.dat ”值提供给用户。

DHCP比DNS拥有更高的优先权。如果DHCP提供WPAD URL,则DNS不会执行查询,这只适用于DHCPv4。在DHCPv6中没有定义WPAD选项。

所有的Web浏览器都支持该协议,包括Windows,MacOSX,Linux以及iOS和Android系统的。不过默认只有在Windows操作系统中启用。

方法结合

谈到网络共享功能和DHCP,我们前面已经提过,用Android设备可以创建网络和DHCP服务器。使用Android的dnsmasq也可以很方便的创建DHCP服务器,并且配置WPAD选项指向Responder。

至于身份验证,在锁定的计算机上之所以可以这样攻击是因为 代理自动配置 文件包含了DHCP响应所需的细节信息。

当主机尝试检索PAC文件,Responder的HTTP服务会返回一个“(407)身份验证请求”信息。在大多数情况下,主机通过用户缓存的凭证进行身份验证。

Windows使用NTLM协议来完成认证,这是个 challenge-response身份验证 协议。用户密码hash以及challenge-response步骤在此作为用户身份验证的token。

虽然没有明文凭证可供攻击者直接使用,但破解出hash并获得用户密码还是有可能的。如果密码强度比较弱,那么破解所需的时间不会太长。

不过对于刚启动的机器来说由于还没有缓存凭证,所以这种攻击方式是无效的。然而一旦用户先前就进行过身份验证,主机就可以尝试再次获取文件。

不过还面临一个挑战,就是如何在Android设备上跑Responder(这是个Python项目)。这里提供多种解决方案供考虑,最简单粗暴的方法就是安装 qPython 应用。qPython是一款针对Android的Python编译器,它能够完美的运行Responder。还有个替代方案是安装 NetHunter ,NetHunter是从Kali Linux移植到Android之上的,同样的它也包含Python编译器。

一台已root的Android设备,一颗好奇的心?

安装 qPython , 下载脚本和Responder ,然后按指示进行。

这段视频展示的是Windows 10锁屏界面。测试主机最新安装了Windows操作系统,且没有加入任何域,未连接到其他任何网络,用户之前通过了身份验证后锁定了屏幕。

连接一台Android设备,运行上面提到的Responder脚本。注意在执行Responder后的几秒钟,在没有进行任何交互的情况下,用户的NTLM hash已经捕获到。下图展示了捕获到的数据:

用手机从锁定的计算机中偷取凭证信息

脚本执行步骤,通过设置网络并运行Responder启用网络共享功能。

用手机从锁定的计算机中偷取凭证信息

黄色部分为捕获到的hash

解决方案

在操作系统和浏览器中禁用自动代理配置设置,至少可以防止上述锁屏攻击。不过在公司网络中需要用到代理或者依赖于自动配置,当然就会有些麻烦了。不过我们要使用代理,最好是硬编码设置或者由自动配置脚本提供。以下为不同操作系统规避这种攻击的设置方法:

Windows 10, 8.1, and 8

打开设置 (开始 → 在Windows 10中为设置 / 左下角 → Windows 8, 8.1为更改计算机设置).

选择 网络 之后选择左边的代理.

确保“自动检测设置”已禁用.

Windows 7, Vista, XP

单击开始进入控制面板.

在控制面板中选择互联网选项.

在连接选项卡中选择LAN设置.

确保“自动检测设置”已禁用.

MacOSX

打开系统偏好.选择 网络 之后选择活跃连接

选择 高级 之后进入 代理 选项卡.

确保“自动发现代理”已禁用.

*参考来源: Cigital ,FB小编鸢尾编译,转载请注明来自FreeBuf(FreeBuf.COM)

原文  http://www.freebuf.com/news/120174.html
正文到此结束
Loading...