Bad-PDF创建恶意PDF以从Windows机器窃取NTLM(NTLMv1 / NTLMv2)哈希,它利用检查点团队披露的漏洞来创建恶意PDF文件。Bad-Pdf使用Responder侦听器读取NTLM哈希值。
此方法适用于所有PDF阅读器(任何版本)和java脚本不是此攻击所必需的,大多数EDR / Endpoint解决方案都无法检测到此攻击。
|
1 2 3 4 |
git clone https://github.com/deepzec/Bad-Pdf.git cd Bad.Pdf ls chmod 777 badpadf.py |
现在,在下面给出的命令的帮助下运行python文件:
|
1 |
python badpdf.py |
然后它将尝试通过其默认路径(即/ user / bin / responder)与Responder连接,但在我们的例子中,响应者的位置是user / sbin / responder。之后它将询问您的网络IP,输出文件的名称和接口名称,根据您的网络提交此信息。
然后它将创建一个名为bad.pdf的恶意pdf文件,现在将此pdf文件传输到目标。
因此,当受害者点击我们的恶意文件时,他的NTLM哈希将被捕获,如下图所示。在这里,您可以观察用户名'raj'及其哈希密码。现在复制文本文档中的哈希值,以便您可以破解此哈希值以检索密码。
我们将哈希值粘贴到文本文件中,并将其保存为桌面上的“哈希”。
用户检索了密码:133:raj。
本文标题:演示Bad-PDF工具窃取pdf文件NTLM哈希
本文作者:pip
本文来自:蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t2245.html
