- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全攻防
WPAD中间人攻击
WPAD简介 WPAD全称是网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编译并运行,最终自动使用代理访问网络 WPAD原理 用户在访问网页时,首先会去查询PAC文件的位置,具体方式如下: DHCP服务器:Web浏览器向DHCP服务器发送DHCP INFORM查询PAC文件位置,DHCP服务器返回DHCP ACK 数据包,包含PAC文件位置 DNS查询方式:Web浏览器向DNS服务器发起WPAD+X的查询,DNS服务器返回提供WPAD主机的IP地址,Web浏览器通过该IP的80端口下载wpad.dat NBNS查询方式 WPAD漏洞 根据WPAD的原理,如果被攻击用户发起NBNS查询时伪造NBNS响应,那么就能控制其通过伪造的代理服务器上网,达到会话劫持的目的 WPAD欺骗 Responder 下面使用Responder 工具来进行NBNS欺骗攻击: Step 1:使用以下参数运行Responder实施WPAD欺骗 .
2.8K20发布于 2021-09-01 - 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows常见协议之 WPAD(Web代理自动发现协议)
1.Windows WPAD 简介 WPAD全称Web Proxy Auto-Discovery Protocol,也就是WEB代理自动发现协议(这里的代理就是我们在渗透中常用BURP的时候修改的代理设置 2.WPAD实现方式我们前面说过主机会在当前连接的局域网中自动寻找代理服务器,它的实现方式主要分为两种。 (1)DHCP 在DHCP服务器中,DHCP服务器的252选项是被当作查询或者注册使用的指针,我们可以在DHCP服务器中添加一个用于查找WPAD主机的252项,内容是部署在WPAD主机上的PAC文件的 目前大多数内网中已经不再使用DHCP服务器对客户端的WPAD进行配置,而是逐渐采用较为简单的DNS服务器方式。 (2)DNS 第二种是目前使用最广泛的方式,通过DNS方式实现WPAD的原理是:先由Web浏览器向DNS服务器发起WPAD+X查询,DNS服务器接收到查询请求后返回提供WPAD主机的IP地址,Web
2K10编辑于 2024-01-26 - 来自专栏信安之路
内网中间人的玩法
利用WPAD 什么是WPAD 通常公司内网为了安全,不允许员工直接访问外网的服务,但是允许公司员工通过web代理访问外网资源,但是对于员工来说设置代理又是个麻烦事,所以通常公司使用wpad自动配置代理。 WPAD是如何工作的 客户端想用访问wpad.dat配置代理,在DHCP服务器没有配置wpad的情况下,回去查找以wpad命名的服务器然后寻找对应的文件,然后进行以下步骤: 1 如果DHCP服务器配置了 wpad,那么直接从DHCP服务器获取wpad.dat文件然后跳到第4步,否者执行下一步 2 向dns服务器发送请求查找wpad.test.local,然后获取代理配置文件,如果成功跳到第4步,否则执行下一步 在这一点上,攻击者可以像wpad服务器那样将他的wpad.dat文件发送给客户端。 重要的是WPAD协议内置于Windows操作系统中。 利用WPAD Responder是中间人攻击很好的实用工具,Responder提供假的WPAD服务器并响应客户端的WPAD名称解析。然后提供假的wpad.dat下载。
2.4K00发布于 2018-08-08 - 来自专栏技术杂记
使用 WPAD/PAC 和 JScript在win11中进行远程代码执行
PAC 本身与一个称为 WPAD 的协议相结合——该协议使浏览器无需连接到预先配置的服务器。相反,WPAD 允许计算机查询本地网络以确定从中加载 PAC 文件的服务器。 安全研究人员此前曾警告过WPAD的危险。但是,据我们所知,这是第一次证明针对 WPAD 的攻击会导致 WPAD 用户机器的完全入侵。 Windows 肯定不是唯一实现 WPAD 的软件。 攻击场景:通过恶意 wpad.tld 在互联网上远程 WPAD 的一个特别奇怪之处在于它递归地遍历本地机器名称以查找要查询的域。 wpad.company.com wpad.com 这(根据此Wikipedia 条目)过去曾导致人们注册 wpad.co.uk 并将流量重定向到在线拍卖网站。 此外,如果没有为组织配置 wpad 域,则用户将转到域层次结构中具有下一个 wpad 站点的任何外部位置,并将其用于其配置。
6K470编辑于 2022-04-23 - 来自专栏企鹅号快讯
MITM6:用IPv6攻陷IPv4网络的工具
攻击者可以回复这些广播名称解析协议并对其进行欺骗,让其认为WPAD文件位于攻击者服务器上,然后提示进行身份验证以访问WPAD文件。这种认证是Windows默认提供的,无需用户交互。 当受害者请求一个WPAD文件时,我们将不会请求验证,而是提供一个攻击者机器上设置作为代理的有效的WPAD文件。 要提供WPAD文件,我们需要在命令提示符中-wh参数后添加主机,并指定WPAD文件所在的主机。由于mitm6让我们可以控制DNS,因此受害网络中的任何不存在的主机名都可以执行。 对于WPAD漏洞,最好的解决方案是通过组策略禁用代理自动检测功能。如果您的公司内部使用代理配置文件(PAC文件),建议显式配置PAC网址,而不是依靠WPAD自动检测。 在写这篇博文时,Google的Project Zero团队也发现了WPAD中的漏洞,其博文中提到禁用WinHttpAutoProxySvc是禁用WPAD的唯一可靠方式。
2.1K70发布于 2018-02-05 - 来自专栏往期博文
【OpenCV】Chapter7.图像噪声与滤波器
= int((n - 1) / 2) imgPad = np.pad(img.copy(), ((hPad, m - hPad - 1), (wPad, n - wPad - 1)), mode="edge ") imgGeoMean = img.copy() for i in range(hPad, img_h + hPad): for j in range(wPad, img_w + wPad , img_w + wPad): sumTemp = np.sum(1.0 / (imgPad[i - hPad:i + hPad + 1, j - wPad:j + wPad + 1] hPad:i + hPad + 1, j - wPad:j + wPad + 1] + epsilon)) imgHarMean[i - hPad][j - wPad] = order :j + wPad + 1] + epsilon imgInvHarMean[i - hPad][j - wPad] = np.sum(np.power(temp, (Q + 1)))
1.2K30编辑于 2022-09-26 - 来自专栏嘉为动态
紧急安全公告—BadTunnel漏洞修复—2016年6月20日
CVE-2016-3213即Windows WPAD 特权提升漏洞,当 Web 代理自动发现 (WPAD) 协议回退到易受攻击的代理发现进程时,MicrosoftWindows 中存在特权提升漏洞,攻击者可通过响应 WPAD 创建下列条目︰wpad 255.255.255.255变通办法的影响。 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255变通办法的影响。 WPAD 创建下列条目︰wpad 255.255.255.255 变通办法的影响。 WPAD 创建下列条目︰wpad 255.255.255.255 变通办法的影响。
2K40发布于 2018-12-21 - 来自专栏绿盟科技研究通讯
【M01N】资源约束委派和NTLM Relaying的组合拳接管域内任意主机系统权限
2WPAD 当系统配置好DNS服务器后,会开始请求该网络的WPAD配置。 由于历史原因,PAC文件经常被称作proxy.pac,在DNS lookup中,此配置文件为wpad.dat,且WPAD DNS查询会忽略proxy.pac的文件名。 在以往的WPAD功能中,提供wpad.dat文件的服务器地址一般会由DNS解析,如果没有记录返回,则会使用无加密的广播协议(如LLMNR)来解析。 尽管请求WPAD文件不再自动进行认证,攻击者也可利用WPAD配置文件将自己设置为代理服务器,而在Edge,Internet Explorer,Firefox和Chrome等浏览器上都会默认使用WPAD系统配置 2WPAD 如果不需要使用WPAD,通过组策略禁用它并禁用WinHTTPAutoProxySvc服务。 3LDAP 启用LDAP签名和LDAP channel binding。
2K30发布于 2019-12-11 - 来自专栏谢公子学安全
Inveigh结合DNS v6配合NTLM Relay 攻击链的利用
Inveigh结合DNS v6配合NTLM Relay 的利用 通过Inveigh工具内网投毒,欺骗ipv6的DNS服务器,进行WPAD欺骗,结合NTLM Relay攻击链进行利用。 -IgnoreAgents Default=Firefox: Comma separated list of HTTP user agents to ignore with wpad anmd proxy -WPADAuth Default=Enabled: (Y/N) authentication type for wpad.dat requests. (Anonymous/Basic/NTLM) -WPADResponse Default=Autogenerated: Contents of wpad.dat responses. 当目标计算机重启或重新进行网络配置(如重新插入网线)时, 将会向DHCPv6发送请求获取IPv6配置,然后目标机器的IPv6 DNS将会设置为内网投毒机器的IPv6地址 当目标机器打开浏览器时,会请求解析WPAD
1.6K40编辑于 2022-03-14 - 来自专栏技术杂记
使用 WPAD/PAC 和 JScript在win11中进行远程代码执行3
例如,如果我们运行命令“cmd”,我们将看到一个命令提示符正在生成,作为本地服务运行(相同的用户 WPAD 服务运行)。 将它们捆绑在一起 当 WPAD 服务查询 PAC 文件时,我们提供利用 WPAD 服务并运行 WinExec 以删除并执行权限提升二进制文件的漏洞利用文件。 该漏洞在我们的实验中运行得非常可靠,但有趣的是,不需要 100% 可靠的漏洞 - 如果漏洞导致 WPAD 服务崩溃,当客户端从 WPAD 发出另一个请求时,将生成一个新实例服务,所以攻击者可以再试一次。 那么,微软可以做些什么来让未来的攻击变得更加困难: 默认禁用 WPAD。事实上,虽然其他操作系统都支持 WPAD,但 Windows 是唯一默认启用它的操作系统。 wpad”放在主机文件中(这将停止 DNS 变体,但可能不会停止 DHCP 变体)
2.6K310编辑于 2022-04-23 - 来自专栏网络空间安全
内网渗透横向移动之获取Net-NTLM Hash
系统再也无法通过广播协议来解析 WPAD 文件的位置,只能通过使用 DHCP 或 DNS 协议完成该任务。 2. 系统再也无法通过广播协议来解析 WPAD 文件的位置,只能通过使用 DHCP 或 DNS 协议完成该任务。 配置由于这些 DNS 查询是发送给攻击者的,此时攻击者便可以使用自己的 IP 地址作为WPAD对应的 IP 地址。 我们可以给用户返回一个正常的wpad。将代理指向我们自己,然后我们作为中间人。这个时候可以做的事就很多了。 我们可以给用户返回一个正常的wpad。
3.4K20发布于 2021-11-22 - 来自专栏FreeBuf
用手机从锁定的计算机中偷取凭证信息
网络代理自发现协议 (WPAD)协议可用来自动定位proxy auto-config (PAC)文件。 PAC的位置可以通过DHCP响应“site-local”选项252(即auto-proxy-config)与“ http://example.com/wpad.dat”值提供给用户。 如果DHCP提供WPAD URL,则DNS不会执行查询,这只适用于DHCPv4。在DHCPv6中没有定义WPAD选项。 使用Android的dnsmasq也可以很方便的创建DHCP服务器,并且配置WPAD选项指向Responder。
2.1K80发布于 2018-02-09 - 来自专栏全栈程序员必看
WinHTTP AutoProxy 函数
WinHTTP AutoProxy 函数 WinHTTP implements the WPAD protocol using the WinHttpGetProxyForUrl function along WinHttpGetProxyForUrl函数和其余两个辅助函数,WinHttpDetectAutoProxyConfigUrl and WinHttpGetIEProxyConfigForCurrentUser实现了WPAD The WinHttpGetProxyForUrl function can execute all three steps of the WPAD protocol described in the WinHttpGetProxyForUrl函数可以执行上述WPAD协议中的三步操作(1)发现PAC URL(2)下载PAC脚本文件(3)执行脚本代码,然后把代理配置返回到一个WINHTTP_PROXY_INF WinHttpDetectAutoProxyConfigUrl函数实现了WPAD以下子集:尝试自动探测含有自动配置文件的URL,不下载执行PAC文件。
84340编辑于 2022-09-15 - 来自专栏玄魂工作室
Active Directory渗透测试典型案例(1)
这两个工具的作用是检查AD中非常常见的错误配置,从而导致WPAD和NBT-NS中毒的能力。默认情况下,Windows配置为在使用Internet时搜索Web代理自动发现文件。 这两个工具的作用是检查AD中常见的错误配置,从而导致WPAD和NBT-NS投毒。情况下,Windows配置为在使用Internet时搜索Web代理自动发现文件。 在Kali中,默认安装 responder responder -I eth0 --wpad 在我的Windows 7计算机上,我打开Internet Explorer并转到Google,然后启动对WPAD 2.mitm6 假设客户端的网络正在使用合法的WPAD PAC文件,并且您的欺骗无法正常运行。还有另一种技术利用IPv6和DNS将凭证中继到目标。 所以现在利用这样一个事实:我们通过Ntlmrelayx.py再次欺骗WPAD响应来控制DNS。在这里,我写了一篇关于如何设置它的指南。
1.5K30发布于 2019-05-28 - 来自专栏谢公子学安全
你所不知道的NTLM Relay
WPAD WPAD(Web Proxy Auto-Discovery Protocol) Web代理自动发现协议是用来查找PAC(Proxy Auto-Config)文件的协议,其主要通过DHCP、DNS 的一般请求流程如下(图片来源乌云drop),WPAD涉及到两种攻击方式。 IE浏览器默认是自动检测设置 用户在访问网页时,由于IE浏览器默认是自动检测设置,所以首先会查询PAC文件的位置,查询的地址是WPAD/wpad.dat。 如果本地hosts文件和DNS服务器解析不到这个域名的话,就会使用LLMNR发起广播包询问WPAD对应的ip是多少。 受害者通过LLMNR询问WPAD主机的ip,Responder通过LLMNR投毒将WPAD的ip指向Responder所在的服务器 受害者访问 /wpad.dat(Responder此时就能获得目标机器的
3.1K20编辑于 2022-01-20 - 来自专栏全栈测试技术
selenium源码通读·10 |webdriver/common/proxy.py-Proxy类分析
AUTODETECT = ProxyTypeFactory.make(4, 'AUTODETECT') # Proxy autodetection (presumably with WPAD). 直接连接,无代理(Windows上的默认设置 MANUAL手动代理设置(例如,对于httpProxy)PAC来自URL的代理自动配置RESERVED_1 从未使用过AUTODETECT代理自动检测(可能是WPAD
43970编辑于 2023-02-09 - 来自专栏网络安全攻防
Windows提权之Hot Potato
Hot Potato是Stephen Breen发现的Windows权限提升技术的代号,这种技术实际上是两个已知的windows问题的结合,如nbns欺骗和ntlm中继,以及在目标主机上本地运行的假wpad 有一个替代选项,它模拟了powershell中的hot potato漏洞,称为tater,此脚本包含在Empire、p0wnedshell和ps >Attack,它有两种方法来执行权限提升 NBNS WPAD
1.1K20编辑于 2023-03-29 - 来自专栏玄魂工作室
安全杂谈-Windows下的几种提权方式的粗略汇总
烫手山芋 https://github.com/Kevin-Robertson/Tater WPAD(Web Proxy Auto-Discovery protocol )是为了让浏览器自动发现代理服务器 https://www.ibm.com/developerworks/cn/linux/1309_quwei_wpad/ ie浏览器默认会去尝试自动获取配置,有的windwos服务也会去自动获取,比如windows Windows Defender updates服务是个高权限的服务,我们可以通过nbns欺骗让system通过http在假的 WPAD进行ntlm认证,我们再把凭据反射回smb协议,从而取得高权限。
1.2K10发布于 2019-09-24 - 来自专栏安恒信息
利用WPAD/PAC与JScript实现Windows 10远程代码执行
简介 Project Zero团队在google发表了一篇关于利用WPAD/PAC和JScript在本地网络中实现Windows10远程代码执行的博客,笔者根据博客复现了漏洞,现在把利用过程以及一些值得注意的地方拿出来和大家分享 博客中介绍了此漏洞在WPAD服务中的利用过程,而本文主要针对此漏洞在IE浏览器中的利用。 总结 谷歌博客中对在64位系统中的wpad服务下利用此漏洞做了详细的描述,64位系统下的利用除了JScript对象关键数据位置偏移不一样外,函数的参数传递过程也不一样,在构造ROP时需要注意把原本应该在栈上的参数通过 同时由于wpad服务和IE中系统分配内存的方式不一样,IE的JScript对象分配在NT heap中,而wpad服务分配在segment heap中,所以堆溢出发生后,被覆盖的hashtable的位置也是不一样的
99550发布于 2018-04-09 - 来自专栏逸鹏说道
后渗透攻防的信息收集
/in:"%systemroot%\system32\inetsrv\config\applicationHost.config" /live"exit 1.6 杀软 补丁 进程 网络代理信息wpad 软件列表信息 G.ie浏览器的代理信息查看(网络代理信息wpad信息) 1 reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
2.6K60发布于 2018-04-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号