Una herramienta para generar múltiples tipos de archivos de robo de hash NTLMv2
Una herramienta para generar múltiples tipos de archivos de robo de hash NTLMv2.
ntlm_theft es una herramienta Python3 de código abierto que genera 21 tipos diferentes de documentos de robo de hash. Estos pueden usarse para phishing si el objetivo permite el tráfico de smb fuera de su red o si ya se encuentra dentro de la red interna.
Las ventajas de estos tipos de archivos sobre, por ejemplo, documentos basados en macros o documentos de explotación, es que todos se crean con la «funcionalidad prevista». Windows Defender Antivirus no informó de ninguno en junio de 2020, y 17 de los 21 ataques funcionaron en un host de Windows 10 completamente parcheado.
ntlm_theft admite los siguientes tipos de ataques:
Navegue a la carpeta con.url: a través del campo URL.url – a través del campo ICONFILE.lnk: a través del campo icon_location.scf: a través del campo ICONFILE (no funciona en la última versión de Windows)autorun.inf a través del campo OPEN (no funciona en la última versión de Windows)desktop.ini: a través del campo IconResource (no funciona en la última versión de Windows)
Abrir documento.xml: a través de una hoja de estilo externa de Microsoft Word.xml: a través del campo de imagen incluido en Microsoft Word.htm: a través de Chrome, IE y Edge img src (solo si se abre localmente, no está alojado).docx: a través del campo de imagen incluido en Microsoft Word.docx: a través de una plantilla externa de Microsoft Word.docx: a través de Microsoft Word Frameset WebSettings.xlsx: a través de una celda externa de Microsoft Excel.wax: a través de la lista de reproducción de Windows Media Player (mejor, principalmente abierto).asx: a través de la lista de reproducción de Windows Media Player (mejor, principalmente abierto).m3u: a través de la lista de reproducción de Windows Media Player (lo que es peor, Win10 se abre primero en Groovy).jnlp: a través de un contenedor Java externo.aplicación: a través de cualquier navegador (debe operarse a través de un navegador descargado o no se ejecutará)
Abrir documento y aceptar ventana emergente.pdf: a través de Adobe Acrobat Reader
En el programa de chat, haga clic en Enlace.txt: enlace con formato para pegarlo en el chat de zoom
Casos de uso (por qué desea hacer esto)
ntlm_theft está dirigido principalmente a probadores de penetración y personas que lo utilizan para llevar a cabo phishing interno en empleados de la empresa objetivo o para probar antivirus y pasarelas de correo electrónico en masa. También se puede utilizar para suplantación de identidad externa si se permite el acceso SMB saliente en el firewall perimetral.
En las pruebas de penetración me resultó útil ver qué tipos de archivos están disponibles para mí en lugar de perder tiempo configurando un ataque específico como sería la norma con los compromisos de Red Teaming. Puede enviar un archivo .rtf o .docx a RR.HH. y una hoja de cálculo .xlsx a finanzas.
Empezado
Estas instrucciones le muestran los requisitos y el uso de ntlm_theft.
requisitos
ntlm_theft requiere Python3 y xlsxwriter:
Parámetros requeridos
Para iniciar la herramienta, se deben especificar 4 parámetros, un formato de entrada, el archivo o carpeta de entrada y el modo de funcionamiento básico:
-g, --generate : Choose to generate all files or a specific filetype-s, --server : The IP address of your SMB hash capture server (Responder, impacket ntlmrelayx, Metasploit auxiliary/server/capture/smb, etc)-f, --filename : The base filename without extension, can be renamed later (eg: test, Board-Meeting2020, Bonus_Payment_Q4)
Ejecuciones de muestra
A continuación, se muestra un ejemplo de cómo se ve una ejecución que genera todos los archivos:
# python3 ntlm_theft.py -g all -s 127.0.0.1 -f testCreated: test/test.scf (BROWSE)Created: test/test-(url).url (BROWSE)Created: test/test-(icon).url (BROWSE)Created: test/test.rtf (OPEN)Created: test/test-(stylesheet).xml (OPEN)Created: test/test-(fulldocx).xml (OPEN)Created: test/test.htm (OPEN FROM DESKTOP WITH CHROME, IE OR EDGE)Created: test/test-(includepicture).docx (OPEN)Created: test/test-(remotetemplate).docx (OPEN)Created: test/test-(frameset).docx (OPEN)Created: test/test.m3u (OPEN IN WINDOWS MEDIA PLAYER ONLY)Created: test/test.asx (OPEN)Created: test/test.jnlp (OPEN)Created: test/test.application (DOWNLOAD AND OPEN)Created: test/test.pdf (OPEN AND ALLOW)Created: test/zoom-attack-instructions.txt (PASTE TO CHAT)Generation Complete.
A continuación, se muestra un ejemplo de cómo se ve una ejecución que solo genera archivos modernos:
# python3 ntlm_theft.py -g modern -s 127.0.0.1 -f meetingSkipping SCF as it does not work on modern WindowsCreated: meeting/meeting-(url).url (BROWSE TO FOLDER)Created: meeting/meeting-(icon).url (BROWSE TO FOLDER)Created: meeting/meeting.rtf (OPEN)Created: meeting/meeting-(stylesheet).xml (OPEN)Created: meeting/meeting-(fulldocx).xml (OPEN)Created: meeting/meeting.htm (OPEN FROM DESKTOP WITH CHROME, IE OR EDGE)Created: meeting/meeting-(includepicture).docx (OPEN)Created: meeting/meeting-(remotetemplate).docx (OPEN)Created: meeting/meeting-(frameset).docx (OPEN)Created: meeting/meeting-(externalcell).xlsx (OPEN)Created: meeting/meeting.m3u (OPEN IN WINDOWS MEDIA PLAYER ONLY)Created: meeting/meeting.asx (OPEN)Created: meeting/meeting.jnlp (OPEN)Created: meeting/meeting.application (DOWNLOAD AND OPEN)Created: meeting/meeting.pdf (OPEN AND ALLOW)Skipping zoom as it does not work on the late st versionsSkipping Autorun.inf as it does not work on modern WindowsSkipping desktop.ini as it does not work on modern WindowsGeneration Complete.
Aquí hay un ejemplo de cómo se vería una ejecución que solo genera un archivo xlsx:
ntlm_theft Creado por Jacob Wilkin Copyright (C) 2020 Jacob Wilkin
Este programa es software libre: puede redistribuirlo y / o modificarlo según los términos de la Licencia Pública General GNU publicada por la Free Software Foundation, ya sea la versión 3 de la licencia o (a su elección) cualquier versión posterior.
Este programa se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA; incluso sin la garantía implícita de COMERCIABILIDAD o APTITUD PARA UN PROPÓSITO PARTICULAR. Consulte la Licencia pública general GNU para obtener más información.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
