記一次日志分析

作者：DDBG  編輯：白帽子社區(qū)運(yùn)營團(tuán)隊(duì)

    "白帽子社區(qū)在線CTF靶場BMZCTF，歡迎各位在這里練習(xí)、學(xué)習(xí)，BMZCTF全身心為網(wǎng)絡(luò)安全賽手提供優(yōu)質(zhì)學(xué)習(xí)環(huán)境，鏈接（http://www.bmzclub.cn/）

"    

    發(fā)現(xiàn)內(nèi)部主機(jī)與外部通信之后，第一時(shí)間切斷通信，在邊界防火墻部署策略，切斷內(nèi)網(wǎng)和外部IP之間的所有通信。在受影響的主機(jī)中發(fā)現(xiàn)可以通過取消瀏覽器設(shè)置中的“自動(dòng)檢測設(shè)置”可以解除當(dāng)前的故障。所以，通過域控來下發(fā)組策略，禁用該選項(xiàng)，解除其他受影響的主機(jī)，同時(shí)也防止其他未受影響的主機(jī)出現(xiàn)相同的故障。

   網(wǎng)絡(luò)代理自動(dòng)發(fā)現(xiàn)協(xié)議（Web Proxy Auto-Discovery Protocol，WPAD）是一種客戶端使用DHCP和/或DNS發(fā)現(xiàn)方法來定位一個(gè)配置文件URL的方法。在檢測和下載配置文件后，它可以執(zhí)行配置文件以測定特定URL應(yīng)使用的代理。簡而言之就是，如果你的網(wǎng)絡(luò)配置設(shè)置為自動(dòng)檢測模式，那么你的主機(jī)在網(wǎng)絡(luò)連接的時(shí)候會(huì)在網(wǎng)絡(luò)中自動(dòng)的向一個(gè)WPAD服務(wù)器索取PAC文件，然后再利用pac文件去完成網(wǎng)絡(luò)通信。

      WPAD也是可以被用來作為一種攻擊方法，比如欺騙用戶進(jìn)行身份認(rèn)證、監(jiān)聽用戶流量信息以及一些組合利用獲取權(quán)限等。

• 欺騙用戶進(jìn)行身份認(rèn)證   

       正常情況下，我們訪問一個(gè)網(wǎng)站（比如www.baidu.com）我們可以直接跳到這個(gè)轉(zhuǎn)到這個(gè)網(wǎng)站上，但是當(dāng)我們無意之中輸入錯(cuò)誤的時(shí)候，會(huì)出現(xiàn)跳轉(zhuǎn)到其他網(wǎng)站、跳到搜索引擎上去搜索或者是訪問錯(cuò)誤。

     如果"內(nèi)網(wǎng)"(Intranet)上沒有WPAD服務(wù)器，則WPAD很容易受到BNRP(BNRP, Broadcast Name Resolution Poisoning  廣播名稱解析中毒)攻擊。如果攻擊者能找到一種注冊 "與該企業(yè)內(nèi)部命名方案沖突的"(the internal naming scheme of the organization) "通用頂級域"(generic Top-Level Domain ,gTLD)的方法來對用戶進(jìn)行欺騙攻擊。

       說人話就是：攻擊者可以偽造一臺WPAD服務(wù)器，然后在根據(jù)他要攻擊的目標(biāo)，設(shè)置一些容易混淆的域名（比如www.ba1du.com），當(dāng)用戶輸入錯(cuò)誤訪問了一個(gè)不存在的域名時(shí)，沒有出現(xiàn)相應(yīng)的訪問錯(cuò)誤之類的提示，而是攻擊者精心構(gòu)造的一些登錄框之類的提示信息，當(dāng)用戶輸入相關(guān)信息后，攻擊者也就獲取到了想要獲取的信息。

• 監(jiān)聽用戶流量
  

       剛剛的WPAD的介紹中我們可以知道，主機(jī)通常會(huì)去下載服務(wù)器中的PAC文件，因此攻擊者也可以利用這一點(diǎn)在PAC設(shè)置里面讓用戶的流量通過攻擊者設(shè)置的代理服務(wù)器，實(shí)現(xiàn)對用戶流量的監(jiān)聽

（ps：圖片來自TSRC）

• 獲取權(quán)限      

       至于獲取主機(jī)相關(guān)權(quán)限，我這里參考騰訊安全應(yīng)急響應(yīng)的博客文章說一下。

        獲取權(quán)限，需要利用到smb relay，雖然在MS08-067漏洞的補(bǔ)丁中修復(fù)了，但是我們?nèi)匀豢梢栽谖葱ｒ?yàn)smb簽名等情況下進(jìn)行NTLM-Relay轉(zhuǎn)發(fā)我們執(zhí)行responder，首先關(guān)閉掉smb，給接下來的ntlmrelayx使用。

（ps：圖片來自TSRC）

responder -I eth0 ntlmrelayx.py -t xx.xx.xx.xx -l ./

        域管機(jī)器訪問不存在的機(jī)器時(shí)，會(huì)中繼到域控機(jī)器，我們成功獲取shell

（ps：圖片來自TSRC）

    受影響的主機(jī)發(fā)起一個(gè)請求到DHCP服務(wù)器，但是DHCP未響應(yīng)主機(jī)發(fā)起的查詢請求

   主機(jī)繼續(xù)發(fā)起DNS請求查詢WPAD的信息，同時(shí)DNS成功解析了wpad.host的A記錄。        

    主機(jī)嘗試從wpad.host上面下載代理配置文件。

    然后我們就在一些受影響的主機(jī)上面會(huì)發(fā)現(xiàn)注冊表被配置了WPAD

1. 在防火墻上屏蔽惡意IP地址。

2. 在域控制器下發(fā)組策略禁用“自動(dòng)檢測設(shè)置”

3. 優(yōu)化DNS服務(wù)器設(shè)置，禁止與WPAD相關(guān)的遞歸查詢。
   

https://security.tencent.com/index.php/blog/msg/154

https://xz.aliyun.com/t/7051#toc-8