记一次日志分析

作者：DDBG  编辑：白帽子社区运营团队

    "白帽子社区在线CTF靶场BMZCTF，欢迎各位在这里练习、学习，BMZCTF全身心为网络安全赛手提供优质学习环境，链接（http://www.bmzclub.cn/）

"    

    发现内部主机与外部通信之后，第一时间切断通信，在边界防火墙部署策略，切断内网和外部IP之间的所有通信。在受影响的主机中发现可以通过取消浏览器设置中的“自动检测设置”可以解除当前的故障。所以，通过域控来下发组策略，禁用该选项，解除其他受影响的主机，同时也防止其他未受影响的主机出现相同的故障。

   网络代理自动发现协议（Web Proxy Auto-Discovery Protocol，WPAD）是一种客户端使用DHCP和/或DNS发现方法来定位一个配置文件URL的方法。在检测和下载配置文件后，它可以执行配置文件以测定特定URL应使用的代理。简而言之就是，如果你的网络配置设置为自动检测模式，那么你的主机在网络连接的时候会在网络中自动的向一个WPAD服务器索取PAC文件，然后再利用pac文件去完成网络通信。

      WPAD也是可以被用来作为一种攻击方法，比如欺骗用户进行身份认证、监听用户流量信息以及一些组合利用获取权限等。

• 欺骗用户进行身份认证   

       正常情况下，我们访问一个网站（比如www.baidu.com）我们可以直接跳到这个转到这个网站上，但是当我们无意之中输入错误的时候，会出现跳转到其他网站、跳到搜索引擎上去搜索或者是访问错误。

     如果"内网"(Intranet)上没有WPAD服务器，则WPAD很容易受到BNRP(BNRP, Broadcast Name Resolution Poisoning  广播名称解析中毒)攻击。如果攻击者能找到一种注册 "与该企业内部命名方案冲突的"(the internal naming scheme of the organization) "通用顶级域"(generic Top-Level Domain ,gTLD)的方法来对用户进行欺骗攻击。

       说人话就是：攻击者可以伪造一台WPAD服务器，然后在根据他要攻击的目标，设置一些容易混淆的域名（比如www.ba1du.com），当用户输入错误访问了一个不存在的域名时，没有出现相应的访问错误之类的提示，而是攻击者精心构造的一些登录框之类的提示信息，当用户输入相关信息后，攻击者也就获取到了想要获取的信息。

• 监听用户流量
  

       刚刚的WPAD的介绍中我们可以知道，主机通常会去下载服务器中的PAC文件，因此攻击者也可以利用这一点在PAC设置里面让用户的流量通过攻击者设置的代理服务器，实现对用户流量的监听

（ps：图片来自TSRC）

• 获取权限      

       至于获取主机相关权限，我这里参考腾讯安全应急响应的博客文章说一下。

        获取权限，需要利用到smb relay，虽然在MS08-067漏洞的补丁中修复了，但是我们仍然可以在未校验smb签名等情况下进行NTLM-Relay转发我们执行responder，首先关闭掉smb，给接下来的ntlmrelayx使用。

（ps：图片来自TSRC）

responder -I eth0 ntlmrelayx.py -t xx.xx.xx.xx -l ./

        域管机器访问不存在的机器时，会中继到域控机器，我们成功获取shell

（ps：图片来自TSRC）

    受影响的主机发起一个请求到DHCP服务器，但是DHCP未响应主机发起的查询请求

   主机继续发起DNS请求查询WPAD的信息，同时DNS成功解析了wpad.host的A记录。        

    主机尝试从wpad.host上面下载代理配置文件。

    然后我们就在一些受影响的主机上面会发现注册表被配置了WPAD

1. 在防火墙上屏蔽恶意IP地址。

2. 在域控制器下发组策略禁用“自动检测设置”

3. 优化DNS服务器设置，禁止与WPAD相关的递归查询。
   

https://security.tencent.com/index.php/blog/msg/154

https://xz.aliyun.com/t/7051#toc-8