开始协议处理句柄_基于smb协议的wmiexec浅析

前言

之前研究过Crackmapexec这款工具,对这个工具基于smb协议的wmiexec执行方法产生的流量进行了分析,网上似乎还没有相关的文章,这里旨在抛砖引玉,简单梳理下整个过程,以初学者的视角,探索流量当中存在的奥妙之处。

前序知识

OPC协议

OPC协议:OPC是一种利用微软的COM/DCOM技术来达成自动化控制的协定,采用典型的C/S模式,针对硬件设备的驱动程序由硬件厂商完成,提供统一OPC接口标准的Server程序,软件厂商只需按照OPC标准接口编写Client程序就访问Server程序进行读写,即可实现与硬件设备的通信。与大多数应用层协议不同,OPC的基础协议DCOM协议使用动态端口机制,在真正建立数据连接之前通讯双方还需要协商需要使用的端口。

用一张网上的图来表示下:

075383c377dd6521e64abe745d3e9e94.png

上图中,OPC客户端使用5568作为源端口首先向OPC服务器的135端口发起连接,连接成功后再经过OPC服务器分配新端口1118,并通过接口ISystemActivator的方法RemoteCreateInstance的应答报文返回给客户端,之后客户端使用5569作为源端口向服务器的1118端口发起新的连接用来后面的真正数据的传输。为什么会是这个流程那是因为在Windows当中有一个运行在135端口的rpcss服务也就是dcom的激活服务负责协调本机所有com对象的激活,当本机激活时采用通过内核通信,无法捕获数据包,属于内部操作,只有当远程激活或远程重定向到本机激活这种方式才可以捕获到数据包.远程激活有2种方式,一种是采用CoCreateInstanceEx方式指定远程服务器和激活身份等参数调用rpscss的IRemoteSCMActivator接口的RemoteCreateInstance方法激活,或者CoGetClassObject等于调用rpscss的IRemoteSCMActivator接口的RemoteGetClassObject方法激活同样可选指定远程服务器和激活身份等参数,这里就是采取了调用rpscss的IRemoteSCMActivator接口的RemoteCreateInstance方法激活的方式

DCERPC

RPC是一种编程模型,主要用于应用程序实现远程过程调用,微软的DCEPRC即是对远程过程调用的一种实现和扩展,实际上Windows上的很多服务以RPC的形式对外提供调用接口,外部应用程序可以通过调用这些PRC接口来实现对特定服务的访问。DCERPC有多种不同的承载方式,如TCP、UDP、HTTP、SMB命名管道等,客户端通过不同的承载协议连接到指定的服务端,由UUID绑定(Bind)到需要使用的终端接口(endpoint/interface)上,再传递所需参数来调用接口上指定的方法(operation),服务端随后将执行结果封装到协议数据包中返回。当使用TCP作为承载协议时DCERPC的知名端口号为135。

在RPC中,不同的终端定义了各自的一系列操作方法以供被调用,这些终端由各自唯一的UUID作为标识,在DCERPC的Bind操作中指定UUID,以告诉服务端使用哪个终端接口,TCP三次握手连接建立之后,例如DCERPC的绑定操作中通过指定UUID为367ABB81-9844-35F1-AD32-98F038001003,该UUID对应的终端是SVCCTL(ServiceControl,与服务管理相关的调用)。

SMB协议可以由多种命令来承载DCE/MS RPC层数据,同样是139、445/TCP上的通信,因不同的SMB命令而导致不同的SMB层解码。

环境

攻击者:MAC-192.168.56.1受害者:Win7-192.168.56.3

执行命令方式

sudo cme smb 192.168.56.3 -u Administrator -p '123456' --exec-method wmiexec -x whoami

流量特征简要分析

1、Crackmapexec基于wmiexec执行命令,首先也是先建立smb连接,首先攻击者发送一个SMB negotiate protocolrequest请求数据包

在用户级共享(与之相对的是共享级共享)中"NTLM 0.12"是首选SMB dialect,也就是NTLM版本为0.12,如果在NEGTIATE Request中说了,我可以支持Dialect:202、210、300、302、311,对应版本即为SMB 2.02 2.1 3.0 3.0.2 3.1.1

在下图当中我们看到首选的确实为NTLM 0.12f080cb512ab0fb9a84681659804580f3.png

2、攻击者机器发起认证协商请求59a39994d839d0616cc87771fc0621b2.png

3、受害者机器发起响应,返回一个NTLM Server Challengebd5fb984b596c5503b9704d63a9fcb18.png

4、然后攻击者机器发送User Name、Host Name、Domain Name和response给受害者机器8f36f3d48007ac0f41bce0fbbfaa3c39.png

5、然后服务端返回,没有提示出错信息,说明成功建立连接了618879c0bb11dcc9c6520068b9efa283.png

6、我们会发现它是先进行了smb v1的认证之后,然后又进行了smb v2的认证bc877669e7be89fb08d9b451b2e60623.png

7、当攻击者和受害者完成了磋商和认证之后,它会发送一个tree connect andx rerquest SMB数据报并列出它想访问网络资源的名称8f376b9cc13db2a5ba5c570dd1316039.png

8、受害者机器会发送一个tree connect andx response应答数据报以表示此次连接是否被接受或拒绝,下图可以看到没有提示错误,说明连接成功ac0d492491a0a941c7d85bef01ec954f.png

9、下面是攻击者去告诉受害者这台机器,它想去连接svcctl服务29aaf4aa238d3e25b49c5872dbf9d61c.png

10、下面是响应内容f1105ec9d67422ce9c44caf96391d83c.png

11、接下来我们的攻击者机器开始进行DCERPC的绑定操作,通过指定UUID为367ABB81-9844-35F1-AD32-98F038001003,该UUID对应的终端是SVCCTL(ServiceControl,与服务管理相关的调用)0bfc75801401b037f4727172626ab7c4.png

12、接着我们攻击者机器收到了Bindack(12)报文,但是并不意味着BIND操作成功,要检查Ack result字段,解析Bindack报文时,务必判断Ack result字段是否 等于Acceptance(0),此时意味着BIND操作成功,Bind_ack(12)报文的RPC层大小与协议序列有关9b36276d68957f5ccd72e82a0a931a35.png

ee57db559a1ea58afc2be9f578f5469b.png

13、绑定操作完成后,将对选用的终端接口执行指定方法调用,调用方法通过opnum指定,调用SVCCTL中编号为15的方法,即OpenSCManagerW(调用参数已经过编码加密)789f5315d6ac1cdf523128ce88a55f03.png

14、然后受害者机器返回相应的响应信息,这里还没有用到OpenSCManagerW的返回的句柄只是流量当中存在这个过程所以做了下分析1312b451529eb9215c6971dd0b7198be.png

15、AUTH3之前的Bind的UUID为ISystemActivator(000001a0-0000-0000-c000-000000000046)代表协商的服务为IRemoteSCMActivator方式,因为后面将会调用RemoteCreateInstance就是属于IRemoteSCMActivator当中的方法2c0f7591e85d997d7129df113f587ce0.png

16、然后攻击者机器给受害者机器传递NTLM认证参数17dd2cf9616e2161872b9a99a44a4af5.png

17、然后攻击者机器使用RemoteCreateInstance(Opnum 4)方法为实际对象创建对象引用1bd819ac2a8a1f431822758921e3b8a5.png

18、接下来查看下受害者机器的响应,此处回复加密数据当中回复1030端口15287414c88f4e571c7bb8d8e6df2c22.png

19、所以后面我们的攻击者机器开始于受害者机器利用1030端口进行通信35d86e78a394389b647d2c2f398c1988.png

20、然后再去进行了DCERPC的绑定操作进行绑定相应的UUID:f309ad18-d86a-11d0-a075-00c04fb68820也就是我们的IWbemLevel1Login

c4ddede29c386b080105b920e9b5079d.png

21、接着我们攻击者机器收到了Bindack(12)报文,但是并不意味着BIND操作成功,要检查Ack result字段,解析Bindack报文时,务必判断Ack result字段是否 等于Acceptance(0),此时意味着BIND操作成功4d8fd5e299af09da22cdf4bb50bae183.png

22、进行了传递NTLM认证参数34cbb8174efadd3a2b1d91a9fed77095.png

23、然后调用了IWbemLevel1Login接口当中的Opnum为6的NTLMLogin方法,下面可以看到我们传递的参数的//./root/cimv2命名空间

HRESULT NTLMLogin( [in, unique, string] LPWSTR wszNetworkResource, [in, unique, string] LPWSTR wszPreferredLocale, [in] long lFlags, [in] IWbemContext* pCtx, [out] IWbemServices** ppNamespace );

07dcbad30aeccf7c2c597fb1f4f539f6.png

24、下面是返回响应的内容07dcbad30aeccf7c2c597fb1f4f539f6.png

25、接着调用了alter_context进行添加新的安全上下文,其实也就是新绑定了一个IRemUnknown UUID: 00000131-0000-0000-c000-0000000000467f47f0f3c65aa3844665b86fbf13f2ff.png

26、下面就是alert_context回复以及我们受害者机器发送AUTH3包进行认证d1d0ce5c3b55bdf0bd3b303e9a2ea229.png

27、然后调用了RemRelease方法请求在对象的指定接口数量上递减指定数量的引用计数,此处对我们之前引用的IWbemLevel1Login接口对象进行了销毁

HRESULT RemRelease( [in] unsigned short cInterfaceRefs, [in, size_is(cInterfaceRefs)] REMINTERFACEREF InterfaceRefs[] );

a5a4e719f755363bab77e5ffb613e244.png

c64a4f04af58b92ccc2da246957a3110.png

28、接着又去添加新的安全上下文,Interface UUID: 9556dc99-828c-11cf-a37e-00aa003240c7,这个接口对象其实就是IWbemServices,然后下面日常的响应、认证等操作315eb5588fdc2efacfffdc8e35d6a220.png

29、然后之后调用了Opnum为6的方法也就是GetObject方法,GetObject方法检索CIM类或CIM实例。此方法必须从与当前IWbemServices接口关联的名称空间中检索CIM对象,取得我们想要调用的Provider类型实例,他以一个IWbemClassObject类型指针返回,微软在WMI核心部件和微软WMI软件开发工具中包括了很多提供程序。我们最常用的是Win32提供程序(核心WMI),他用于处理Win32系统特征。CIM存储库把这些信息存储为以"Win32"为前缀的类中,他包含在root\CIMV2名字空间中。例如,Win32BIOS、Win32Service、Win32Process等等,所以下面的图当中可以看到,我们传入的是Win32_Process类

HRESULT GetObject( [in] const BSTR strObjectPath, [in] long lFlags, [in] IWbemContext* pCtx, [out, in, unique] IWbemClassObject* ppObject, [out, in, unique] IWbemCallResult* ppCallResult );

bf51e663e090ab2a8760051047693443.png

30、下面就是受害者机器给攻击者机器返回相应的响应结果519a2ea6b9c253121b78bc975f41eb4a.png

c5acdfecf58f7ed26400473fd15ca414.png

31、然后我们就会调用Opnum为24的ExecMethod来调用函数,下面可以看到调用的参数传递,之后在我们的Windows当中就会利用Wmiprvse来调用cmd执行命令

HRESULT ExecMethod( [in] const BSTR strObjectPath, [in] const BSTR strMethodName, [in] long lFlags, [in] IWbemContext* pCtx, [in] IWbemClassObject* pInParams, [out, in, unique] IWbemClassObject* ppOutParams, [out, in, unique] IWbemCallResult* ppCallResult );

bd548d1f621d095bfd5bfbd61475cb63.png

948476ce9880b10bb739248959ad38af.png

总结

此处通过对自己使用Crackmapexec的wmiexec模式过程当中产生的流量分析,对于DCOM激活的过程,以及基于DCERPC调用WMI程序的流程进行了梳理,如有错误之处还请指出,喜欢我们就关注我们吧

参考文章

https://www.anquanke.com/post/id/167057

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/346460.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

apache camel_轻量级的开源集成:Apache Camel还是Spring集成?

apache camel首先,为全面披露信息,在过去的1.5年中, 我一直担任 FuseSource(现为Red Hat) 的顾问,为零售,运输,银行/金融等不同行业的大型和小型公司提供SOA和集成项目支持。我的专长…

mysql max pool_asp.net连接mysql得到错误all pooled connections were in use and max pool size was reach...

asp.net连接mysql数据库时,得到以下错误信息MySql.Data.MySqlClient.MySqlException (080004005): error connecting: Timeout expired. The timeout period elapsed prior to obtaining a connection from the pool. This may have occurred because all pooled co…

科尔达服务101

我今天想写一篇简短的要点文章。 我真的很好奇我能多快出版此书。 所以走吧 这篇文章是关于Corda Services(使用Corda 3.2版)的。 这些是什么? 作为经常使用Spring的开发人员,我个人会说它们就像Beans。 Spring Beans可以做的还很…

python写入数据到excel_python实现查询的数据写入到excel

#codingutf-8 import sys import xlwt import pymysql as MySQLdb #这里是python3 如果你是python2.x的话,import MySQLdb import datetime host 192.168.10.109 user root pwd port 3306 db com66nao_mi sheet_name report out_path rD:\SQL\aaa.xls print…

1899-11-30 php mysql_PHP学习十一--PHP操作MYSQL数据库

1.PHP访问Mysql数据库的一般步骤连接MySQL服务器选择MySQL数据库请求 执行SQL语句 请求MySQL数据库服务器 关闭结果集 数据资源响应 关闭MySQL服务器 响应(1).连接MySQL服务器。通过…

intent隐式和显式_Neo4j:使隐式关系成为显式和双向关系

intent隐式和显式我最近阅读了Michal Bachman关于 Neo4j中双向关系的文章 ,他建议对于某些关系类型,我们对关系的方向不那么感兴趣,因此可以在查询时忽略它。 他使用以下示例显示Neo Technology和GraphAware之间的合作关系: 两家…

python运行pyc文件_Python什么情况下会生成pyc文件?

作为Python爱好者,需要了解.py脚本的基本运行机制及特性: 在很多工作上Python的运行流程基本上取决于用户,因此源码不需要编译成二进制代码(否则无法实现大部分贴近用户的特性),而直接从源码运行程序。当我…

mysql 8.0认证失败_连接mysql8.0提示认证协议失败

描述用docker容器安装软件非常方便,省了太多麻烦。通过docker运行mysql8.0,再用navicat客户端连接出现client does not support authentication protocol requested by server。像似认真失败,检查mysql.user表,已经配置了用户,为什…

mysql读写分离 存储过程_基于maxscale的读写分离部署笔记

使用maxscale搭建的读写分离架构,后期还可以再结合MHA做master的故障转移,这样业务层面上不需要做任何的改动即可。基于connect方式的不要使用。从库延迟他还会继续分发请求过去,暂时不适合生产使用。实验演示:目前的主从结构&…

python读书笔记2000_流畅的Python读书笔记

特殊方法的存在是为了Python解释器调用的,你自己并不需要去调用他们,比如说my_object.len()这种写法是没有的,应该使用len(my_object)。在使用len(my_object)的时候,如果my_object是一个自定义类的对象,那么Python会自…

mysql 注入 file load_Mysql注入中into outfile和load_file()总结

(1)outfile后面不能接0x开头或者char转换以后的路径,只能是单引号路径。这个问题在php注入中更加麻烦,因为会自动将单引号转义成\,那么基本没的玩了。唯一的一种可能就是你使用mysql远程连接,然后直接在mysql中执行命令,就没有查询…

vscode python单步调试_调试期间VSCode python“未验证断点”?

我正在使用VSCode调试python应用程序。在我有一个主python文件,从这里启动调试器。我可以在这个文件中放置断点,但是如果我想在主文件调用的其他文件中放置断点,我会将它们作为“未验证的断点”得到,调试器会忽略它们。在如何更改…

您自己的MicroProfile Config来源

MicroProfile配置 ,即一部分MicroProfile规格,是Java Enterprise和微服务配置的标准化。 开箱即用(即,对于规范定义的所有实现都是强制性的)有3种方法来定义您的配置: System.getProperties() System.ge…

antd 3升级命令_是时候拥有一个你自己的命令行工具了

本篇博客主要介绍了如何使用commander, inquirer以及chalk从零开始,创建属于自己的命令行工具。0. 一分钟体验首先我们先花一分钟的时间,体验一下创建自己的命令行cli工具是什么感觉。0.1. 新建项目目录假如我们的项目名称叫hello-cli,使用如…

找不到要去的声明_老汉将行李袋交由他人看管 去了一趟卫生间找不到人了.........

春节走亲访友难免多喝两杯,但酒后乘车却容易造成财物遗失。目前正值春运返程高峰,从沧州女儿家返程回山东老家的蔡先生就因为中午多喝了几杯酒,便将装有12000元生活费的行李袋弄丢了。好在沧州火车站派出所民警最终将蔡先生的失物找回&#x…

tpcc mysql优化_tpcc_mysql性能测试

. bzr branch lp:~percona-dev/perconatools/tpcc-mysql该方法需要下载bzr工具,还要在网站注册并添加SSH KEY,非常麻烦,并且还没有成功(卡在SSH KEY上)。2. 直接在 http://bazaar.launchpad.net/~percona-dev/perconatools/tpcc-mysql/files …

使用混合多云每个人都应避免的3个陷阱(第3部分)

每天都在肆意宣传云,但每个人都应避免三个陷阱。 从云,混合云到混合多云,您被告知这是确保业务数字化未来的一种方式。 您必须做出的这些选择不会排除提高客户体验和敏捷交付这些应用程序的日常工作。 让我们开始一段旅程,仔细研…

java可视化压缩_web可视化技术发展(1/6)

EverCraft一直在关注Web可视化技术的发展,在本系列文章里,小编将对国外一篇感觉很不错的综述性文章进行翻译,供这一领域的爱好者相互学习。这篇paper的信息为:“Mwalongo, F., et al., State-of-the-Art Report in Web-based Visu…

suse11 rpm 安装mysql_SuSE11安装MySQL5.7.22:RPM安装方式

摘要:SuSE11sp3 64位操作系统、 MySQL5.7.22 rpm安装包5.7版本与先前版本安装有所区别,需要注意注:kingtry是我的主机名一、环境准备操作系统:SuSE版本11sp3,64位kingtry:~ # uname -aLinux kingtry 3.0.76-0.11-defau…

python有多少库存_库存究竟多少才算合理?

本文摘自以上刘宝红老师著作。作为库存计划人员,不管你的库存周转多快,总有人挑战你,说你的库存不合理。不合理,其实是太高的代名词。不过想想看,每一分钱的库存都不是凭空而来,都是为了特定的业务需求而设…