深入解析WPAD漏洞及攻击工具：保障网络安全的重要性与应对策略-山海云端论坛

WPAD简介

WPAD全称是网络代理自动发现协议(Web Proxy Autodiscovery Protocol)，通过让浏览器自动发现代理服务器，定位代理配置文件，下载编译并运行，最终自动使用代理访问网络

WPAD原理

用户在访问网页时，首先会去查询PAC文件的位置，具体方式如下：

DHCP服务器：Web浏览器向DHCP服务器发送DHCP INFORM查询PAC文件位置，DHCP服务器返回DHCP ACK数据包，包含PAC文件位置
DNS查询方式：Web浏览器向DNS服务器发起WPAD＋X的查询，DNS服务器返回提供WPAD主机的IP地址，Web浏览器通过该IP的80端口下载wpad.dat
NBNS查询方式

补充说明：

1、Windows 2K 、XP、2K3只支持DNS和NetBIOS

2、Windows Vista之后(包括 2K8、 Win7、Win8.x、Win 10)支持DNS、NBNS、LLMNR

3、如果DHCP和DNS服务器均没有响应，同时当前缓存没有所请求的主机名，且当前系统支持LLMNR(Link-Local Multicast Name Resolution)，则首先发起广播LLMNR查询，如果没有响应再发起广播NBNS查询，如果有主机回应PAC文件位置，Web浏览器通过该IP的80端口下载wpad.dat

WPAD漏洞

根据WPAD的原理，如果被攻击用户发起NBNS查询时伪造NBNS响应，那么就能控制其通过伪造的代理服务器上网，达到会话劫持的目的

WPAD欺骗

Responder

下面使用Responder工具来进行NBNS欺骗攻击：

Step 1：使用以下参数运行Responder实施WPAD欺骗

./Responder.py -I eth0 -w -F

Step 2：之后受害者打开浏览器后访问(清除会话的情况下)会强制认证一次

Step 3：之成功捕获用户的Net-NTLM Hash

Inveigh实现

Inveigh下载地址：https://github.com/Kevin-Robertson/Inveigh

Step 1：使用管理员权限打开攻击机器的powershell依次输入以下命令

. .\Inveigh.ps1
Invoke-Inveigh -ConsoleOutput Y

#PS:如果有执行策略限制再加一条Set-ExecutionPolicy Bypass -Scope Process

Step 2：当用户打开浏览器时会自动进行一次WPAD身份认证(用户之前已清除会话的情况下)，而且不验证无法正常访问

Step 3：之后成功捕获到用户Net-NTLM Hash值

InveighZero

项目地址：https://github.com/Kevin-Robertson/InveighZero

Step 1：之用管理员权限打开攻击机器的cmd之后执行以下命令

Inveigh.exe

Step 2：之后进行身份认证

Step 3：成功捕获到用户的Net-NTLM Hash

参考链接

https://max.book118.com/html/2017/1101/138462395.shtm

文末扩展

内网渗透工具持续更新，后续有机会也会对一些工具的使用结合环境进行演示分享：

https://github.com/Al1ex/Pentest-tools

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END