基于WPAD的中间人攻击

标签: 技术分享 | 发表时间:2015-12-14 10:33 | 作者:三好学生
出处:http://drops.wooyun.org

0x00 前言


学习@Her0in《Windows名称解析机制探究及缺陷利用》很受启发,于是对其实际利用做了进一步研究,发现基于WPAD的中间人攻击很是有趣,现将收获分享给大家。

p1

0x01 简介


WPAD:

全称网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编译并运行,最终自动使用代理访问网络。

PAC:

全称代理自动配置文件(Proxy Auto-Config),定义了浏览器和其他用户代理如何自动选择适当的代理服务器来访问一个URL。

要使用 PAC,我们应当在一个网页服务器上发布一个PAC文件,并且通过在浏览器的代理链接设置页面输入这个PAC文件的URL或者通过使用WPAD协议告知用户代理去使用这个文件。

WPAD标准使用 wpad.dat,PAC文件举例:

function FindProxyForURL(url, host) {
   if (url== 'http://www.baidu.com/') return 'DIRECT';
   if (host== 'twitter.com') return 'SOCKS 127.0.0.10:7070';
   if (dnsResolve(host) == '10.0.0.100') return 'PROXY 127.0.0.1:8086;DIRECT';
   return 'DIRECT';
}

0x02 WPAD原理


如图

这里写图片描述

用户在访问网页时,首先会查询PAC文件的位置,具体方式如下:

1、通过DHCP服务器

如图

这里写图片描述

web浏览器向DHCP服务器发送DHCP INFORM查询PAC文件位置

DHCP服务器返回DHCP ACK数据包,包含PAC文件位置

2、通过DNS查询

web浏览器向DNS服务器发起 WPAD+X 的查询

DNS服务器返回提供WPAD主机的IP地址

web浏览器通过该IP的80端口下载wpad.dat

3、通过NBNS查询

Tips:

Windows 2K , XP , 2K3 只支持 DNS 和 NetBIOS

Windows Vista 之后(包括 2K8 , Win7,Win8.x,Win 10)支持DNS、NBNS、LLMNR

如果DHCP和DNS服务器均没有响应,同时当前缓存没有所请求的主机名,就会发起如下名称解析:

如果当前系统支持LLMNR(Link-Local Multicast Name Resolution),先发起广播LLMNR查询,如果没有响应再发起广播NBNS查询

如果有主机回应PAC文件位置

web浏览器通过该IP的80端口下载wpad.dat

0x03 WPAD漏洞


对照WPAD的原理,不难发现其中存在的漏洞,如图

这里写图片描述

如果在被攻击用户发起NBNS查询时伪造NBNS响应,那么就能控制其通过伪造的代理服务器上网,达到会话劫持的目的。

0x04 WPAD漏洞测试


测试环境:

  被攻击用户:
win7 x86
192.168.16.191

攻击用户:
kali linux
192.168.16.245

测试过程:

1、监听NBNS查询

  use auxiliary/spoof/nbns/nbns_response
set regex WPAD
set spoofip 192.168.16.245
run

如图

这里写图片描述

2、设置WPAD服务器

  use auxiliary/server/wpad
set proxy 192.168.16.245
run

如图

这里写图片描述

3、被攻击用户发起查询

构造广播NBNS查询

需要使当前dbcp和dns服务器均无法提供的PAC文件位置

4、响应被攻击机用户的广播NBNS查询

如图

这里写图片描述

攻击主机响应广播NBNS查询并指定PAC文件位置

被攻击主机访问指定的PAC位置请求下载

wireshark抓包如图

广播NBNS查询包,如图

这里写图片描述

NBNS查询响应包,如图

这里写图片描述

被攻击主机请求PAC文件位置,如图

这里写图片描述

攻击主机回复PAC文件信息,如图

这里写图片描述

Tips:

虚拟机环境下使用wireshark只抓本地数据包,需要取消混杂模式

如图

这里写图片描述

5、被攻击机用户使用伪造的代理配置上网

可在伪造的代理上面抓取被攻击用户的数据包,中间人攻击成功。

0x05 WPAD实际利用


基于WPAD的中间人攻击有多大威力,超级电脑病毒Flame给了我们很好的示范。

其工作模式如下:

1、SNACK: NBNS spoofing

监听当前网络,如果收到了NBNS查询包含WPAD字符,立即伪造NBNS响应

2、MUNCH: Spoofing proxy detection and Windows Update request

提供WPAD服务,用来更改被攻击主机的WPAD设置

当其成功作为被攻击主机的代理后,会劫持特定的Windows更新请求,提供带有后门的windows更新文件给用户下载

如图为测试环境下抓到的windows更新请求包

这里写图片描述

Burp suite抓到的数据包:

这里写图片描述

Flame最终成功实现了基于WPAD实施中间人攻击,篡改windows更新数据,最终感染了内网其他主机。

0x06 防护


可通过如下设置关闭WPAD应用来避免此种攻击:

Internet Explorer-Internet Options-Connections-LAN settings

取消选中Automatically detect settings

如图

这里写图片描述

这里写图片描述

如果已被NBNS中间人攻击,可通过查看netbios缓存检查

  nbtstat -c

如图

这里写图片描述

0x07 补充


Responder:

Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.

Responder可以说是内网中间人攻击神器,很值得尝试

简单使用命令如下:

  git clone https://github.com/SpiderLabs/Responder.git
cd Responder/

python Responder.py -I eth0 -i 192.168.16.245 -b

当被攻击主机访问主机共享时就能抓到其hash,如图

这里写图片描述

0x08 小结


虽然WPAD不是很新的技术,但是对其了解的都不太多,在内网渗透中应该被重视。

参考资料:

本文由三好学生原创并首发于乌云drops,转载请注明

相关 [wpad 中间人 攻击] 推荐:

基于WPAD的中间人攻击

- - WooYun知识库
学习@Her0in《Windows名称解析机制探究及缺陷利用》很受启发,于是对其实际利用做了进一步研究,发现基于WPAD的中间人攻击很是有趣,现将收获分享给大家. 全称网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编译并运行,最终自动使用代理访问网络.

细说中间人攻击(二)

- - Pans Labyrinth
在 细说中间人攻击(一)介绍了比较常见的中间人攻击做法,即用wireshark抓取数据包, 用ettercap来进行出入流量的替换和修改,从而达到监控和修改目标网页的目的. 然而中间人攻击的工具繁多,并非只有ettercap一个, 因此这篇博文我将再介绍几种常见的MITM框架以及简单说明其使用方法,以达到方便监控目标和攻击目标的目的.

网络安全课堂:“中间人攻击”(MITM)

- - 煎蛋
你拿着刚买的咖啡,连上了咖啡店的WiFi,然后开始工作,这样的动作在之前已经重复了无数遍,一切都和谐无比. 但你不知道的是有人正在监视你,他们监视着你的各种网络活动,盗取你的银行凭证,家庭住址,个人电子邮件和联系人,当你发现的时候,已经晚了. 现在的小偷已经不仅仅是简单的在地铁上偷你的钱包,更高级的是使用网络攻击获取你的各种信息,当你在咖啡馆上网检查你的账户信息的时候,也许黑客就拦截了你电脑和WiFi之间的通信,监视着你的一举一动.

MIT科学家化解中间人攻击,提高无线网络安全

- skymare - 36氪
MIT的研究人员正在努力提高无线网络的安全. 在一项新研究中,研究人员开发出一项名为“防破坏配对(tamper-evident pairing)”的技术,可以停止中间人攻击. 中间人攻击(MITM)是黑客惯用的一种古老的攻击手段,一直到今天还具有极大的扩展空间. 中间人攻击的使用范围非常广泛,曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段.

记一次被中间人攻击的经历 - 有价值炮灰

- - 博客园_首页
俗话说得好,常在河边走,哪能不湿鞋. 俗话又说了,出来混,早晚要还的. 几篇关于MITM的笔记兼科普文刚发布不久,我自己就遭遇了一次中间人攻击. 无奈由于技不如人,当时花了两天都没. 不过吃一堑长一智,虽然丢了点个人信息,但总算明白了对方的手法. 在此记录一下当时的排查过程,就当. 某天晚上我忙于搭建 我的github page的时候,在某个网站下面突然发现有个巨大的广告弹窗,上面是一张扫地机.

UC浏览器被曝中间人攻击漏洞,全球多达十几亿设备均受影响

- - FreeBuf互联网安全新媒体平台
自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台. 目前在Google Play上UC浏览器安装量超过5亿、而在国内某安卓应用市场下载量也超过12亿. Android端UC浏览器中间人攻击 Demo. 而近期,Dr.Web恶意软件分析师发现UC浏览器存在中间人攻击漏洞,允许远程攻击者将恶意模块推送到目标设备.

session fixation攻击

- - 互联网 - ITeye博客
什么是session fixation攻击. Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的. 在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原文.

浅谈Ddos攻击攻击与防御

- - 80sec
三 常见ddos攻击及防御. 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击. 因为我们本身并不从事这种类型的攻击,这种攻击技术一般也是比较粗糙的,所以讨论得比较少,但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西,以及针对这种攻击我们的想法才能让这次攻击产生真正的价值,而并不是这样的攻击仅仅浪费大家的时间而已.

警告攻击者

- ZhaoNiuPai - 月光微博客
  广东省深圳市福田区电信ADSL(59.40.120.63)的这位用户,凡事都有个度,事不过三,如果你再对我博客的AdSense进行攻击的话,我可就要报警了,相信深圳公安局根据这个IP抓到你是一件非常容易的事情,想黑别人,千万不要把自己黑进监狱. 分类: 网络日志 | 添加评论(5). 关闭服务器HTTPERR错误日志  (2011-1-12 16:52:8).

Apache防止攻击

- - 小彰
为了防止恶意用户对Apache进行攻击,我们需要安装mod_security这个安全模块. mod_security 1.9.x模块的下载与安装. 下载地址: http://www.modsecurity.org/download/index.html. 建议使用1.9.x,因为2.x的配置指令与1.x完全不同,解压后进入解压目录,执行:.