经过RPC协议中继NTLM身份验证渗透测试总结

发布时间：2022-07-20 09:43:50 所属栏目：安全来源：互联网

导读：在本文中，我们建议从impacket到已经很好的ntlmrelayx中添加对RPC协议的支持，并探索它提供的新渗透测试方法。为了使这种攻击奏效，攻击者就必须处于中间人的位置。这可以使用传统的欺骗技术(ARP，DNS，LLMNR和Netbios等)，或者通过一个错误或误用的特性(打

　　在本文中，我们建议从impacket到已经很好的ntlmrelayx中添加对RPC协议的支持，并探索它提供的新渗透测试方法。

　　为了使这种攻击奏效，攻击者就必须处于中间人的位置。这可以使用传统的欺骗技术(ARP，DNS，LLMNR和Netbios等)，或者通过一个错误或误用的特性(打印机错误、Juicy Potato等)触发到攻击者机器的连接来实现。

　　示例回顾

　　NTLM中继已在多种攻击中使用和重用：

　　1. 打印机错误：一种从Windows Server触发SMB连接的好方法(与不受约束的委托结合使用特别方便);

　　2. PrivExchange：或如何从拥有Exchange邮箱的任何用户升级为Domain Admins;

　　3. 断开MIC ：或如何完全绕过继电器保护。

　　这些攻击中继了以下协议：

　　SMB→SMB(打印机错误);

　　HTTP→LDAP(PrivExchange);

　　RPC的一些背景知识

　　定义

　　1. 远程过程调用(RPC)是指程序在其他地址空间(例如在另一台计算机上)中执行过程。

　　2. DCE / RPC是由Open Group设计的RPC协议标准;

　　3. MSRPC(aka MS-RPCE)是Microsoft的DCE / RPC的修改版本;

　　谁会使用RPC?

　　RPC用于远程系统管理，WMI基于DCOM，该DCOM使用RPC作为传输方式(有时通过SMB)：

　　1. 监控和远程管理工具支持WMI(快速搜索将提供例如Solarwinds，NetCrunch，PRTG，LanSweeper，Kaseya等)，并且必须配置特权服务帐户。

　　2. 系统管理员还可以使用WMI手动执行远程任务，可能使用特权帐户。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

之于勒索软件持乐观态	通往零信任的坦途 SAS
网络安全技术趋向	防范数据偷取从了解其