[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01689] Re: SMBrelay vs SMB署名

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:01689] Re: SMBrelay vs SMB署名
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 24 Dec 2002 22:18:29 +0900

Port139 伊原です。

On Tue, 24 Dec 2002 22:01:04 +0900
hamamoto <r00t@xxxxxxxxxxx> wrote:

>> Penetration Testing Tip #1: SmbRelay captures NTLM hashes 
>> http://is-it-true.org/pt/ptips1.shtml
>
>これ、yoshidaさんが詳しかったような。。。

某 A 氏にもいろいろ質問したりしてるのですが、SMBRelay の
現在の実装だと SMB 署名を利用しない方式で中継しようとする
そうです（伝聞系ですんません）
＃これは当然といえば当然かもしれませんね、だって中継者が
＃署名できない通信方式を利用しても無意味ですもんね...

で、いま注目しているのは SMB 署名がサーバ側から要求される
場合でも、理論的にはチャレンジ/レスポンス部分については中
継できるのではないか？というところです。

C/R 部分だけ中継してどうなる？という話題はあるのですが...

セッションセットアップの認証が通っても、その後の通信では
署名できないので拒否されてしまうという点から考えれば中継
されるとしても実害はないんでしょうね。

＃ダウングレードアタックが考えられますが、サーバ側で設定
＃すればいいお話だし...

-- 
セミナー受講者募集中！< http://www.port139.co.jp/seminar/seminar_030122.htm >
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [port139ml:01680] SMBrelay vs SMB署名
  - From: Hideaki Ihara
- [port139ml:01688] Re: SMBrelay vs SMB署名
  - From: hamamoto

Prev by Date: [port139ml:01688] Re: SMBrelay vs SMB署名
Next by Date: [port139ml:01690] Re: Process Monitoring Tool
Previous by thread: [port139ml:01688] Re: SMBrelay vs SMB署名
Next by thread: [port139ml:01709] Re: SMBrelay vs SMB署名
Index(es):
- Date
- Thread