聲明：
本文只是在技術(shù)上分析如何來通過sniffer來劫持winnt/2k的hash，對此文可能造成的危害不負(fù)任何責(zé)任。
引言：
近來SMB會話劫持的討論占據(jù)了個大技術(shù)論壇不少的位置，吸引了不少人的目光，同時綠盟月刊37期、Phrack雜志60期和安全焦點峰會也刊登出了相關(guān)的文章，使得SMB會話劫持成為一個熱點。由于是window設(shè)計上的缺陷，這是一種無法察覺又非?？膳碌墓舴椒?。本文試圖從SMB數(shù)據(jù)包分析的角度來說明如何截獲winnt/2k的hash，具體的實現(xiàn)就不公布了，請讀者牢記前面的聲明。
說明：
為了使文章有針對性，關(guān)于SMB協(xié)議以及SMB會話過程就不談了，用到的時候會一帶而過，感興趣的朋友請自行查詢附錄中的參考文檔。文中提到的數(shù)據(jù)包如果沒有特別說明都是通過Sniffer pro截獲到的，并且為了分析方便，去掉了物理幀頭、IP頭和TCP頭，只留下NETB和SMB部分。 正文： 假設(shè)兩臺機器，一臺為Client A,一臺為SMBServer B。 一、session的建立：
設(shè)法讓A去訪問B的特定資源，產(chǎn)生一個NETBIOS會話。A發(fā)送Session request，其中包括經(jīng)過編碼的NETBIOS名字。B在139端口監(jiān)聽連接，收到A的request后，B發(fā)送Session confirm，其中沒有任何內(nèi)容。這樣就建立了一個有效的session。其中Session request數(shù)據(jù)包的NETB Type為0x81，Session confirm數(shù)據(jù)包的NETB Type為0x82，可以在程序中通過判斷這兩個標(biāo)志來確定是否產(chǎn)生一個有效的session，然后就可以想辦法截獲SMB包了。 二、Challenge的獲得：
當(dāng)有效的session建立后，就開始進(jìn)行連接的確認(rèn)工作了，從這一步中可以得到B發(fā)送給A的由B隨機產(chǎn)生的Challenge。
過程如下：A向B發(fā)送一個身份認(rèn)證的請求，B隨機產(chǎn)生一個8字節(jié)的Challenge發(fā)送給A，這個Challenge就包含在B發(fā)回給A的Server Response數(shù)據(jù)包中。用Sniffer pro截獲這個包后，去掉物理幀頭、IP頭和TCP頭，再去掉4個字節(jié)的NETB頭，剩下的就是SMB包的內(nèi)容，再去掉33個字節(jié)長的SMB Reponse header,然后向后做36個字節(jié)的偏移，下面的就是長度為8個字節(jié)的Challenge。這樣就得到了我們需要的服務(wù)器隨機產(chǎn)生的Challenge。
（由于本文的目的在于散列截獲的實現(xiàn)，所以數(shù)據(jù)包內(nèi)個字節(jié)內(nèi)容的具體含義不做任何解釋，只說明位置，下文也遵循這個原則。想深入了解的朋友請參閱附錄的參考文檔） 三、LM&NT HASH的獲得：
A得到B發(fā)回的用于加密口令的Challenge后，向B發(fā)送建立空連接的請求，B返回Server Response包，此時IPC空連接成功建立。A然后發(fā)送LM&NT HASH給B，請求訪問特定的資源，等待B的允許。我們需要做的就是截獲A發(fā)送的這個SMB包。下面來看怎么拆解出HASH，還是去掉物理幀頭、IP頭和TCP頭，再去掉4個字節(jié)的NETB頭，剩下的就是SMB包的內(nèi)容，再去掉33個字節(jié)長的SMB Reponse header,然后向后做28個字節(jié)的偏移，下面的24個字節(jié)的內(nèi)容就是LM HASH，緊接著的24個字節(jié)就是NT HASH。現(xiàn)在我們就獲得了A主機的LM HASH和NT HASH。 四、HASH的破解
前面已經(jīng)獲得了Challenge、LM HASH和NT HASH，現(xiàn)在我們做成lc文件格式，下面就是導(dǎo)入lc4來暴力破解了。lc的文件格式如下：
192.168.0.244 ADMINIST-7Z6A4E\Administrator:"":"":89E5E3F54A998398DC36E89DDD37334C801201CA39C9A5D3:8457623684F27A5EFA5FE7B647E87C36D78616F80594123C:E3A96FF4507B9EDF
后面的三列數(shù)字分別為LM HASH、NT HASH、Challenge。 五、總結(jié)
本文旨在于討論winnt/2k下SMB會話劫持的實現(xiàn)，相關(guān)問題請查閱參考文檔。因為入侵方法復(fù)雜，并且需要一定的基礎(chǔ)，所以，掌握的人并不多。我已經(jīng)盡量寫地簡單，只要按照以上的步驟去做就能實現(xiàn)，具體的代碼實現(xiàn)就不寫了，有興趣的朋友自己去研究吧。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。