SMBetray：一款SMB中间人攻击工具分享

"Ps：文中仅作技术指标分析，严禁用以别的不法主要用途

今日给大伙儿详细介绍的是这款全名是SMBetray的专用工具，它是这款SMB中间人攻击专用工具，该专用工具能够根据文档內容互换、lnk互换和密文统计数据侵入来对总体目标手机客户端执行进攻。

SMBetray

该专用工具可容许网络攻击阻拦和改动不安全性的SMB联接，在己知资格证书的状况下，该专用工具可以侵入一些安全性的SMB联接。

背景图內容

该专用工具公布于Defcon 27上，有关演讲主题为“SMBetray – 侧门与签字进攻”。

在SMB联接中，必须应用安全性体制来维护网络服务器和手机客户端中间传送数据的一致性，而这类安全性体制就是说SMB签字和数据加密。最先，在签字全过程中必须从服务端获得密匙和资格证书，并对SMB数据文件开展签字，最终再根据互联网传送数据包。要是客户登陆密码己知，那麼网络攻击就能够再次建立SessionBaseKey和全部别的的SMB密匙，并运用他们来改动SMB数据文件，随后对改动后的数据文件开展再次签字。此外，许多系统管理员默认设置会停用签字作用，因而这类攻击方式的高效率也会较为高。

作用详细介绍

1.普攻免费下载根据有线电视互联网上传的随意文档密文统计数据；

2.将总体目标手机客户端退级为NTLMv2（并非Kerberos）；

3.当目标目录被客户浏览后，向目标目录中引入文档；

11.用重名的lnk文档替换成掉全部的初始文档，并在客户点一下后实行网络攻击特定的指令或编码；

4.仅用重名的lnk文档替换成总体目标系统软件中的可执行文件，并在客户点一下后实行网络攻击特定的指令或编码；

6.用网络攻击引入的当地文件目录中的文档內容（拓展名叫“X“）替换成总体目标系统软件中拓展名叫“X“的文档內容，扩展名可区别英文大小写；

专用工具安裝

该专用工具规定系统软件可应用iptables，安裝指令给出：

sudo bash install.sh

专用工具应用

最先，对总体目标系统软件、网关ip或目地互联网实行bi-directional arp-cache感柒进攻，例如：

sudo arpspoof -i <iface> -c both -t <target_ip> -r ip>

接下去，运作smbetray及其有关的进攻控制模块：

sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll ""powershell -noP-sta -w 1 -enc AABCAD___(etc)"" -I