首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

SMB攻击的一些资料


http://www.gipsky.com/
服务器发送了一个将加密属性设置为1的negprot应答数据报,要求客户端对密码进行加密传送。

攻击者并不会重定向发送这个数据报。他改变了要求加密的那一位,而告诉客户端不用对口令进行加

密。



negprot reply

[client] <----------------------------- [attacker] [server]

(加密属性位被设置为无须加密口令 )

攻击者将修改过的无须加密口令的negprot应答报文发送到客户端。

SesssetupX request

[client] ------------------------> [attacker] [server]

(密码以明文形式传送)

客户端将密码以明文形式传送,这是攻击者得到了服务器的密码了 !

SesssetupX request

[client] [attacker] ---------------------> [server]

(密码被加密过后传送)

攻击者将密码加密后通过SesssetupX请求数据报发送到服务器。

sesssetupX reply

[client] <------------- [attacker] <---------------- [server]

服务器发送SesssetupX应答报文,攻击者只是将它重定向到客户端。

[client] <------------> [attacker] <--------------> [server]

攻击者继续在服务器与客户端之间重定向数据报,直到SMB会话结束。

----[ 6.7 - 注意Windows 2k/XP里基于TCP的SMB操作

就想我先前说的,在Windows 2k/XP中SMB可以直接运行于TCP之上。SMB服务器在445端口上监听

所有的连接。但是这并不是如此的“直接”,实际上,我们使用一个4字节长的数据代替了NETBIOS头部。

描述:

│---------------│

│ TCP │

│---------------│

│SPECIAL HEADER │

│---------------│

│ SMB BASE HDR │

│---------------│

特殊头部的定义如下:

UCHAR Zero; // Set to zero

UCHAR Length[3]; // Count of data bytes

// the 4 bytes of the header are not included

这个特别的头部和NETBIOS头部并没有太大的区别,下面你就会知道为什么了。

下面是NETBIOS头部:

UCHAR Type; // Type of the packet

UCHAR Flags; // Flags

USHORT Length; // Count of data bytes (netbios header not included)

在SMB运行于TCP之上时,NETBIOS请求会话就不再需要了。

实际上,客户端和服务器的NETBIOS名字并不需要发送。所以,在NETBIOS里的“Type”域总是等

于零(如果“Type”域不等于零,在客户端发送它的NETBIOS的编码后的名字时这个域被置为0x81,如

果是服务器就填入0x82)。记住,在SMB的会话期间,“Type”域始终等于零。

第一个字节完全相同。

最后三个字节:

NETBIOS头部的“Flags”域始终置为零。只有数据报的长度会占据最后的两个字节。

我们可以得出这个结论:在NETBIOS没有使用时,NETBIOS头部和特殊头部没有什么区别。

Downgrade 攻击:

如果客户端(运行于Windows 2K 或 XP之上)使用了NBT,它在连接时总是同时使用139和445端口。

如果客户端在445端口接收到一个应答报文,客户端就会在139端口发送一个RST数据报。如果客户端在

445端口没有接收到应答报文,他会试图使用139端口进行连接。如果在两个端口都没有回应,那么这

次会话就算失败了。

如果客户端没有使用NBT,它仅在445端口上进行连接。为了完成 Downgrade 攻击,强迫客户端

不使用445端口而使用139端口,你必须是客户端确信445端口是关闭的。在使用透明代理攻击的情况下

是非常容易实现的。在使用iptables的情况下,只须在攻击者的主机上将接收的所有网络数据报从445

端口重定向到其他的端口。这样客户端就会使用139端口了。

以上假设是基于客户端使用了NBT的。

如果客户端没有使用,那么透明代理就会在445端口上进行数据报的流通。

好的,我们已经完成了还原密码的攻击了。现在我们要学习SMB的另一个重要部分。



本新闻共6页,当前在第4页 1 2 3 4 5 6
<< SMB攻击的一些资料 SMB攻击的一些资料 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号