WPAD
Last updated
Last updated
Web Proxy Auto-Discovery Protocol
http://wpad/wpad.dat as PAC file
Hijack WPAD -> Proxy Server
Insert any html tags in HTTP Response
Атаке через протокол WPAD подвержены все системы — Linux, Windows, MacOS
Злоумышленник может выполнить атаку «человек посередине» (MiTM) на уязвимые системы, если они находятся в той же локальной сети, что и система-жертва (внутренняя сеть, кафе, аэропорт).
Злоумышленник может выполнить атаку MiTM через Интернет, если он сможет зарегистрировать новый gTLD, который конфликтует с внутренней схемой имен, и развернуть поддельный прокси-сервер WPAD.
Есть разные варианты атаки, однако основная идея схожа. Атакующий отвечает на запросы аутентификации by spoofing name resolution responses. [TODO]
Стартуем Gladius (чтобы он подхватывал хеши)
Далее запускаем Responder.
Далее заходим уже с полученными кредами по SMB, исполняем код, дампим ntds:
Create a WPAD entry which points to the corporate proxy server or disable proxy auto-detection in Internet Explorer.
Disable NBNS and LLMNR (test in a lab before deploying to all systems).
Set valid DNS entries for all internal and external resources.
Monitor the network for broadcast poisoning attacks.
Restrict outbound 53/tcp and 445/tcp for all internal systems.
Основная статья:
Tools: Gladius: HobORules: Responder:
Apart from getting the , this could be useful for attacks, since the HTTP doesn't required sign in NTLM and therefore it can be used with any other protocol in NTLM cross-protocol relay attack.
Moreover, to serve the PAC file to the victim will allow you to execute some javascript code as the victim, which could be used to .