基于WPAD的中间人攻击


0x00 前言


学习@Her0in《Windows名称解析机制探究及缺陷利用》很受启发,于是对其实际利用做了进一步研究,发现基于WPAD的中间人攻击很是有趣,现将收获分享给大家。

0x01 简介


WPAD:

全称网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编译并运行,最终自动使用代理访问网络。

PAC:

全称代理自动配置文件(Proxy Auto-Config),定义了浏览器和其他用户代理如何自动选择适当的代理服务器来访问一个URL。

要使用 PAC,我们应当在一个网页服务器上发布一个PAC文件,并且通过在浏览器的代理链接设置页面输入这个PAC文件的URL或者通过使用WPAD协议告知用户代理去使用这个文件。

WPAD标准使用 wpad.dat,PAC文件举例:

function FindProxyForURL(url, host) {
   if (url== 'http://www.baidu.com/') return 'DIRECT';
   if (host== 'twitter.com') return 'SOCKS 127.0.0.10:7070';
   if (dnsResolve(host) == '10.0.0.100') return 'PROXY 127.0.0.1:8086;DIRECT';
   return 'DIRECT';
}

0x02 WPAD原理


如图

此图片修改于http://wenku.baidu.com/link?url=KFoXTvqgxnNR1lxM_2dHCCRlJXp0D2GXa80fI7BCjR7XSoDqv2jmLJ8WJoSaew9MFSpKmTDV9lxNF2XKhTaJ1T8rSghDrhZ71OqlQ1yqx-a

用户在访问网页时,首先会查询PAC文件的位置,具体方式如下:

1、通过DHCP服务器

如图

web浏览器向DHCP服务器发送DHCP INFORM查询PAC文件位置

DHCP服务器返回DHCP ACK数据包,包含PAC文件位置

2、通过DNS查询

web浏览器向DNS服务器发起 WPAD+X 的查询

DNS服务器返回提供WPAD主机的IP地址

web浏览器通过该IP的80端口下载wpad.dat

3、通过NBNS查询

Tips:

Windows 2K , XP , 2K3 只支持 DNS 和 NetBIOS

Windows Vista 之后(包括 2K8 , Win7,Win8.x,Win 10)支持DNS、NBNS、LLMNR

如果DHCP和DNS服务器均没有响应,同时当前缓存没有所请求的主机名,就会发起如下名称解析:

如果当前系统支持LLMNR(Link-Local Multicast Name Resolution),先发起广播LLMNR查询,如果没有响应再发起广播NBNS查询

如果有主机回应PAC文件位置

web浏览器通过该IP的80端口下载wpad.dat

0x03 WPAD漏洞


对照WPAD的原理,不难发现其中存在的漏洞,如图

此图片修改于 http://wenku.baidu.com/link?url=KFoXTvqgxnNR1lxM_2dHCCRlJXp0D2GXa80fI7BCjR7XSoDqv2jmLJ8WJoSaew9MFSpKmTDV9lxNF2XKhTaJ1T8rSghDrhZ71OqlQ1yqx-a

如果在被攻击用户发起NBNS查询时伪造NBNS响应,那么就能控制其通过伪造的代理服务器上网,达到会话劫持的目的。

0x04 WPAD漏洞测试


测试环境:

被攻击用户:
win7 x86
192.168.16.191

攻击用户:
kali linux
192.168.16.245

测试过程:

1、监听NBNS查询

use auxiliary/spoof/nbns/nbns_response
set regex WPAD
set spoofip 192.168.16.245
run

如图

2、设置WPAD服务器

use auxiliary/server/wpad
set proxy 192.168.16.245
run

如图

3、被攻击用户发起查询

构造广播NBNS查询

需要使当前dbcp和dns服务器均无法提供的PAC文件位置

4、响应被攻击机用户的广播NBNS查询

如图

攻击主机响应广播NBNS查询并指定PAC文件位置

被攻击主机访问指定的PAC位置请求下载

wireshark抓包如图

广播NBNS查询包,如图

NBNS查询响应包,如图

被攻击主机请求PAC文件位置,如图

攻击主机回复PAC文件信息,如图

Tips:

虚拟机环境下使用wireshark只抓本地数据包,需要取消混杂模式

如图

5、被攻击机用户使用伪造的代理配置上网

可在伪造的代理上面抓取被攻击用户的数据包,中间人攻击成功。

0x05 WPAD实际利用


基于WPAD的中间人攻击有多大威力,超级电脑病毒Flame给了我们很好的示范。

其工作模式如下:

1、SNACK: NBNS spoofing

监听当前网络,如果收到了NBNS查询包含WPAD字符,立即伪造NBNS响应

2、MUNCH: Spoofing proxy detection and Windows Update request

提供WPAD服务,用来更改被攻击主机的WPAD设置

当其成功作为被攻击主机的代理后,会劫持特定的Windows更新请求,提供带有后门的windows更新文件给用户下载

如图为测试环境下抓到的windows更新请求包

Burp suite抓到的数据包:

Flame最终成功实现了基于WPAD实施中间人攻击,篡改windows更新数据,最终感染了内网其他主机。

0x06 防护


可通过如下设置关闭WPAD应用来避免此种攻击:

Internet Explorer-Internet Options-Connections-LAN settings

取消选中Automatically detect settings

如图

如果已被NBNS中间人攻击,可通过查看netbios缓存检查

nbtstat -c

如图

0x07 补充


Responder:

Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.

Responder可以说是内网中间人攻击神器,很值得尝试

简单使用命令如下:

git clone https://github.com/SpiderLabs/Responder.git
cd Responder/

python Responder.py -I eth0 -i 192.168.16.245 -b

当被攻击主机访问主机共享时就能抓到其hash,如图

0x08 小结


虽然WPAD不是很新的技术,但是对其了解的都不太多,在内网渗透中应该被重视。

参考资料:

本文由三好学生原创并首发于乌云drops,转载请注明

评论

三好学生 2015-12-14 10:56:43

[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */:D

路人甲 2015-12-14 11:11:22

13年就已经有分析了,http://dl.acm.org/citation.cfm?id=2512520

路人甲 2015-12-14 11:19:18

2年前 别人就已经有分析了。。。。。。。。。。

三好学生 2015-12-14 11:23:47

@ashimida 分享或者翻译出来给大家学习一下呗

帮主 2015-12-14 11:25:47

CCS 2013 上的一篇文章里讲过 ~(╯﹏╰)~

_

_Evil 2015-12-14 11:28:32

hao hao hao

路人甲 2015-12-14 11:39:46

@三好学生 额。。。内容差不多,都是中国人写的,不难懂,还是自己看吧,里面有个默认开启wpad的列表,可以参考一下。

Z

zyq8709 2015-12-14 15:04:09

@帮主 只是一片poster,比ccs的正会还是差的比较远的,[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */ 再放个嘲讽:)

三好学生 2015-12-14 16:05:01

@ashimida @帮主 @小飞侠罗宾 @zyq8709
感谢你们的回复,给我提供了另一个参考链接《POSTER: Sniffing and Propagating Malwares through WPAD Deception in LANs》,我已学习了全文,有了新收获,很开心。至于拿这两篇文章做比较我认为没有任何意义,对内网渗透感兴趣的同学自然能发现文章的价值。

S

stgxygxy 2015-12-14 16:34:26

非常感谢楼主的文章,很有收获,楼主能不能共享下超级电脑病毒Flame的样本,我想自己抓包学习下,谢谢!

路人甲 2015-12-14 16:34:28

@三好学生 一篇文章没啥好撕逼的,这样的文章发出来就是为了大家可以互相学习的,只是和楼主说声其实是有人做过的。
那篇文章的实验是有局限性的,还顺便想请教楼主一下,这个实验笔者在IE9以上实验了一下没有成功,后来就没有再尝试了,感觉理论上应该是可行的,可能代码哪里有点问题,不知楼主在IE9上是否实验成功了。

肥猪 2015-12-14 16:54:10

@zyq8709 你发了什么文章?

路人甲 2015-12-14 17:04:09

@zyq8709 一个实验,无论多简单,只要数据是真实、有用的,就不丢人。一片文章,不论是论文、poster、还是博客,只要可以为他人提供思路或节省学习时间,就不丢人。一片poster没啥可炫耀的,但内容是真实的,说出来不丢人。没事多看看书,写写代码,别没事老见谁和谁撕逼,没意思。最后说一句,大家交流也不是一次两次了,我不是在和你撕逼,我是在教你。

路人甲 2015-12-14 17:06:42

@三好学生 赞,说的真好

Z

zyq8709 2015-12-14 17:37:06

@ashimida 脸皮越来越薄了,还能不能玩耍了

Z

zyq8709 2015-12-14 17:39:12

@三好学生 赞一个,心态真好,都是玩耍嘛

路人甲 2015-12-15 01:02:54

非常感谢楼主的文章,很有收获,楼主能不能共享下超级电脑病毒Flame的样本,我想自己抓包学习下,谢谢!

路人甲 2015-12-15 11:33:00

@三好学生 《POSTER: Sniffing and Propagating Malwares through WPAD Deception in LANs》文章可以共享下么?貌似要付费,嘿嘿。。。。非常羞愧。。。

三好学生 2015-12-15 15:33:37

@ashimida 我在win8 ie10上测试成功;
@Touya 文章已共享到github;
@stgxygxy @help 如果是研究wpad,不需要研究病毒样本,抱歉无法提供

路人甲 2015-12-21 09:35:11

@三好学生 劳烦写下github的地址,我找了下没找到,谢谢!

三好学生 2015-12-22 08:05:15

@Touya https://github.com/3gstudent/pdf

路人甲 2016-04-28 17:36:07

@三好学生 我在内网抓到这样一个cap包,看上去符合,但是他的查询源的mac地址都是一个.这个是什么鬼呢?

三好学生

good in study,attitude and health

twitter weibo github wechat

随机分类

安全管理 文章:7 篇
CTF 文章:62 篇
事件分析 文章:223 篇
渗透测试 文章:154 篇
软件安全 文章:17 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录