Jump to content

SMBRelay

Edit links

SMBRelay и SMBRelay2 — это компьютерные программы , которые можно использовать для проведения SMB- атак «человек посередине» (mitm) на компьютерах под управлением Windows . Они были написаны сэром Дистиком из Cult of the Dead Cow (cDc) и выпущены 21 марта 2001 года на съезде @lantacon в Атланте , штат Джорджия . Спустя более чем семь лет после его выпуска Microsoft выпустила патч, исправляющий дыру, использованную SMBRelay. [ 1 ] [ 2 ] Это исправление устраняет уязвимость только тогда, когда SMB отражается обратно клиенту. Если оно будет перенаправлено на другой хост, уязвимость все равно может быть использована. [ 3 ] [ 4 ]

SMBRelay

[ редактировать ]

SMBrelay получает соединение через 139 UDP порт и ретранслирует пакеты между клиентом и сервером подключающегося компьютера с Windows на порт 139 исходного компьютера. При необходимости он изменяет эти пакеты.

После подключения и аутентификации целевой клиент отключается, и SMBRelay привязывается к порту 139 по новому IP-адресу . Затем к этому адресу реле можно подключиться напрямую с помощью «net use \\192.1.1.1», а затем использовать все сетевые функции, встроенные в Windows. Программа ретранслирует весь трафик SMB, исключая согласование и аутентификацию. Пока целевой хост остается подключенным, пользователь может отключиться от этого виртуального IP-адреса и снова подключиться к нему .

SMBRelay собирает NTLM паролей хэши и записывает их в hashes.txt в формате, который L0phtCrack может использовать для последующего взлома.

Поскольку порт 139 является привилегированным портом и для его использования требуется доступ администратора , SMBRelay должен работать с учетной записью доступа администратора. Однако, поскольку порт 139 необходим для сеансов NetBIOS , его сложно заблокировать.

По словам сэра Дистика: «Проблема в том, что с маркетинговой точки зрения Microsoft хочет, чтобы их продукты имели как можно большую обратную совместимость ; но, продолжая использовать протоколы, у которых есть известные проблемы, они продолжают подвергать своих клиентов риску взлома. .. Это еще раз известные проблемы, которые существовали с самого первого дня существования этого протокола. Это не ошибка, а фундаментальный недостаток конструкции. Глупо предполагать, что никто не использовал этот метод для эксплуатации людей. две недели на написание SMBRelay». [ 5 ]

SMBRelay2

[ редактировать ]

SMBRelay2 работает на уровне NetBIOS по любому протоколу, к которому привязан NetBIOS (например, NBF или NBT ). Он отличается от SMBrelay тем, что использует имена NetBIOS, а не IP-адреса.

SMBRelay2 также поддерживает посредника к третьему хосту. Однако он поддерживает одновременное прослушивание только одного имени.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ « Бюллетень по безопасности Microsoft MS08-068 ». Бюллетень по безопасности Microsoft, 11 ноября 2008 г. Проверено 12 ноября 2008 г.
  2. ^ Фонтана, Джон. « Патч Microsoft закрывает 7-летнюю дыру в ОС, — говорит эксперт. Архивировано 2 апреля 2012 г. на Wayback Machine ». Network World , 12 ноября 2008 г. Проверено 12 ноября 2008 г.
  3. ^ " «NTLM мертв» (PDF) . Архивировано из оригинала (PDF) 18 октября 2012 г. ", Курт Груцмахер - Defcon 16
  4. ^ " «Ошибки безопасности в протоколах» (PDF) . 2010. Архивировано из оригинала (PDF) 26 ноября 2011 г. Проверено 26 января 2012 г. Ошибки безопасности в протоколах — это действительно плохо!
  5. ^ Грин, Томас К. « Эксплойт разрушает безопасность WinNT/2K ». Интернет-издание The Register , 19 апреля 2001 г. Проверено 20 августа 2005 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=SMBRelay&oldid=1233501103"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 5d6139b020cd42e8eb6077854957f28f__1720515360
URL1:https://arc.ask3.ru/arc/aa/5d/8f/5d6139b020cd42e8eb6077854957f28f.html
Заголовок, (Title) документа по адресу, URL1:
SMBRelay - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)