SMBetray：一款SMB中間人攻擊工具分享

PS：本文僅作技術分析，禁止用於其他非法用途

今天給大家介紹的是一款名叫SMBetray的工具，這是一款SMB中間人攻擊工具，該工具可以通過文件內容交換、lnk交換和明文數據入侵來對目標客戶端實施攻擊。

SMBetray

該工具可允許攻擊者攔截和修改不安全的SMB連接，在已知證書的情況下，該工具還可以入侵某些安全的SMB連接。

背景內容

該工具發佈於Defcon 26上，相關演講主題為「SMBetray – 後門與簽名攻擊」。

在SMB連接中，需要使用安全機制來保護伺服器和客戶端之間傳輸數據的完整性，而這種安全機制就是SMB簽名和加密。首先，在簽名過程中需要從伺服器端獲取密鑰和證書，並對SMB數據包進行簽名，最後再通過網路發送數據包。如果用戶密碼已知，那麼攻擊者就可以重新創建SessionBaseKey和所有其他的SMB密鑰，並利用它們來修改SMB數據包，然後對修改後的數據包進行重新簽名。除此之外，很多網站管理員默認會禁用簽名功能，因此這種攻擊方式的效率也會比較高。

功能介紹

1.被動下載通過有線網路發送的任意文件明文數據；

2.將目標客戶端降級為NTLMv2（而非Kerberos）；

3.當目標目錄被用戶訪問後，向目標目錄中注入文件；

4.用同名的lnk文件替換掉所有的原始文件，並在用戶點擊後執行攻擊者指定的命令或代碼；

5.僅用同名的lnk文件替換目標系統中的可執行文件，並在用戶點擊後執行攻擊者指定的命令或代碼；

6.用攻擊者注入的本地目錄中的文件內容（擴展名為「X「）替換目標系統中擴展名為「X「的文件內容，擴展名可區分大小寫；

工具安裝

該工具要求系統可使用iptables，安裝命令如下：

sudo bash install.sh

工具使用

首先，對目標系統、網關或目的網路執行bi-directional arp-cache感染攻擊，比如說：

sudo arpspoof -i <iface> -c both -t <target_ip> -r <gateway_ip>

接下來，運行smbetray以及相關的攻擊模塊：

sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll "powershell -noP-sta -w 1 -enc AABCAD....(etc)" -I eth0

Demo

點擊【這裡】查看該工具的使用樣例。

*參考來源：smbetray，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！