Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Leer & oefen AWS-hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP-hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
Netwerkprotokolle
Plaaslike Gasoplossingsprotokolle
LLMNR, NBT-NS, en mDNS:
Microsoft en ander bedryfstelsels gebruik LLMNR en NBT-NS vir plaaslike naamoplossing wanneer DNS misluk. Op soortgelyke wyse gebruik Apple- en Linux-stelsels mDNS.
Hierdie protokolle is vatbaar vir onderskepping en vervalsing as gevolg van hul ongeauthentiseerde, uitsaai-aard oor UDP.
Responder kan gebruik word om dienste te impersoneer deur vervals reaksies na gasheer wat hierdie protokolle ondersoek, te stuur.
Verdere inligting oor diensimpersonasie met behulp van Responder kan hier gevind word hier.
Web Proxy Auto-Ontdekkingsprotokol (WPAD)
WPAD maak dit vir webblaaier moontlik om proksi-instellings outomaties te ontdek.
Ontdekking word fasiliteer via DHCP, DNS, of terugval na LLMNR en NBT-NS as DNS misluk.
Responder kan WPAD-aanvalle outomatiseer deur kliënte na skadelike WPAD-bediener te rig.
Responder vir Protokolvergiftiging
Responder is 'n instrument wat gebruik word vir die vergiftiging van LLMNR, NBT-NS, en mDNS-navrae, selektief reageer op navraagtipes, wat hoofsaaklik op SMB-dienste teiken.
Dit kom voorafgeïnstalleer in Kali Linux, aanpasbaar by
/etc/responder/Responder.conf
.Responder wys opgevangde hase op die skerm en stoor dit in die
/usr/share/responder/logs
-gids.Dit ondersteun beide IPv4 en IPv6.
Windows-weergawe van Responder is beskikbaar hier.
Uitvoering van Responder
Om Responder met verstekinstellings uit te voer:
responder -I <Interface>
Vir meer aggressiewe deursnuffeling (met potensiële newe-effekte):
responder -I <Interface> -P -r -v
Tegnieke om NTLMv1-uitdagings/reaksies vir makliker kraak vas te vang:
responder -I <Interface> --lm --disable-ess
WPAD-impersonasie kan geaktiveer word met:
responder -I <Interface> --wpad
NetBIOS-navrae kan na die aanvaller se IP opgelos word, en 'n outentiseringsproksi kan opgestel word:
responder.py -I <interface> -Pv
DHCP-vergiftiging met Responder
Die vervalsing van DHCP-reaksies kan 'n slagoffer se roetinligting permanent vergiftig, wat 'n meer heimlike alternatief vir ARP-vergiftiging bied.
Dit vereis presiese kennis van die teiken-netwerk se konfigurasie.
Uitvoering van die aanval:
./Responder.py -I eth0 -Pdv
Hierdie metode kan effektief NTLMv1/2-hase vasvang, maar dit vereis sorgvuldige hantering om netwerk-onderbreking te vermy.
Vasvang van geloofsbriewe met Responder
Responder sal dienste impersoneer deur die bogenoemde protokolle te gebruik, geloofsbriewe vasvang (gewoonlik NTLMv2-uitdaging/reaksie) wanneer 'n gebruiker probeer om teen die vervals dienste te outentiseer.
Pogings kan aangewend word om af te gradeer na NetNTLMv1 of ESS te deaktiveer vir makliker geloofsbriewe-kraak.
Dit is noodsaaklik om daarop te let dat die gebruik van hierdie tegnieke wettig en eties gedoen moet word, met behoorlike magtiging en om ontwrigting of ongemagtigde toegang te vermy.
Inveigh
Inveigh is 'n instrument vir penetrasietoetsers en rooi spanne, ontwerp vir Windows-stelsels. Dit bied funksionaliteite soortgelyk aan Responder, wat vergiftiging en man-in-die-middel-aanvalle uitvoer. Die instrument het geëvolueer vanaf 'n PowerShell-skrip na 'n C# binêre, met Inveigh en InveighZero as die hoofweergawes. Gedetailleerde parameters en instruksies kan gevind word in die wiki.
Inveigh kan bedryf word deur PowerShell:
Of uitgevoer as 'n C# binêre lêer:
NTLM Relay Aanval
Hierdie aanval maak gebruik van SMB-verifikasiesessies om toegang tot 'n teikengreep te verkry, wat 'n stelselshell verleen indien suksesvol. Belangrike voorvereistes sluit in:
Die verifiserende gebruiker moet plaaslike administrateurtoegang op die gerelayde gasheer hê.
SMB-ondertekening moet gedeaktiveer wees.
445 Poort Deurvorsing en Tonnelering
In scenario's waar direkte netwerkintroduksie nie uitvoerbaar is nie, moet verkeer op poort 445 deurgevoer en getonnel word. Gereedskap soos PortBender help om poort 445-verkeer na 'n ander poort om te lei, wat noodsaaklik is wanneer plaaslike administrateurtoegang beskikbaar is vir drywerbelading.
PortBender-opstelling en -werking in Cobalt Strike:
Ander gereedskap vir NTLM Relay-aanval
Metasploit: Stel op met proksies, plaaslike en afgeleë gasheerbesonderhede.
smbrelayx: 'n Python-skrip vir die relaying van SMB-sessies en die uitvoering van bevele of die implementering van agterdeure.
MultiRelay: 'n instrument uit die Responder-pakket om spesifieke gebruikers of alle gebruikers te relay, bevele uit te voer, of hase te dump.
Elke gereedskap kan gekonfigureer word om deur 'n SOCKS-proksi te werk indien nodig, wat aanvalle selfs met indirekte netwerktoegang moontlik maak.
MultiRelay-bedryf
MultiRelay word uitgevoer vanaf die /usr/share/responder/tools gids, wat spesifieke IP-adresse of gebruikers teiken.
Dwang NTLM Aanmeldings
In Windows kan jy dalk sommige bevoorregte rekeninge dwing om aan te meld by willekeurige masjiene. Lees die volgende bladsy om te leer hoe:
Force NTLM Privileged AuthenticationVerwysings
Leer & oefen AWS Hack:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)
Last updated