Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS, en mDNS:
Microsoft en ander bedryfstelsels gebruik LLMNR en NBT-NS vir plaaslike naamoplossing wanneer DNS misluk. Op soortgelyke wyse gebruik Apple en Linux stelsels mDNS.
Hierdie protokolle is vatbaar vir onderskep en spoofing weens hul nie-geverifieerde, uitsendingsnatuur oor UDP.
Responder kan gebruik word om dienste na te boots deur vervalste antwoorde na gashere wat hierdie protokolle vra, te stuur.
Verdere inligting oor diensna-booting met Responder kan hier gevind word.
WPAD laat blaaiers toe om proxy-instellings outomaties te ontdek.
Ontdekking word gefasiliteer via DHCP, DNS, of terugval na LLMNR en NBT-NS indien DNS misluk.
Responder kan WPAD-aanvalle outomatiseer, wat kliënte na kwaadwillige WPAD-bedieners lei.
Responder is 'n hulpmiddel wat gebruik word om LLMNR, NBT-NS, en mDNS vrae te vergiftig, selektief te antwoord op grond van vraetipes, hoofsaaklik teikening op SMB dienste.
Dit kom vooraf geïnstalleer in Kali Linux, konfigureerbaar by /etc/responder/Responder.conf.
Responder vertoon gevangen hashes op die skerm en stoor dit in die /usr/share/responder/logs gids.
Dit ondersteun beide IPv4 en IPv6.
Windows weergawe van Responder is beskikbaar hier.
Om Responder met standaardinstellings te laat loop: responder -I <Interface>
Vir meer aggressiewe ondersoek (met potensiële newe-effekte): responder -I <Interface> -P -r -v
Tegnieke om NTLMv1 uitdagings/antwoorde te vang vir makliker krak: responder -I <Interface> --lm --disable-ess
WPAD na-booting kan geaktiveer word met: responder -I <Interface> --wpad
NetBIOS versoeke kan opgelos word na die aanvaller se IP, en 'n outentikasie-proxy kan opgestel word: responder.py -I <interface> -Pv
Spoofing DHCP antwoorde kan 'n slagoffer se routeringsinligting permanent vergiftig, wat 'n meer stil alternatief bied vir ARP vergiftiging.
Dit vereis presiese kennis van die teiken netwerk se konfigurasie.
Om die aanval te laat loop: ./Responder.py -I eth0 -Pdv
Hierdie metode kan effektief NTLMv1/2 hashes vang, maar dit vereis versigtige hantering om netwerkonderbreking te vermy.
Responder sal dienste na boots met behulp van die bogenoemde protokolle, en kredensiale (gewoonlik NTLMv2 Uitdaging/Antwoord) vang wanneer 'n gebruiker probeer om teen die nagebootste dienste te outentiseer.
Pogings kan aangewend word om af te gradeer na NetNTLMv1 of ESS te deaktiveer vir makliker kredensiaal krak.
Dit is van kardinale belang om te noem dat die gebruik van hierdie tegnieke wettig en eties gedoen moet word, met behoorlike magtiging en om onderbreking of ongeoorloofde toegang te vermy.
Inveigh is 'n hulpmiddel vir penetrasietoetsers en rooi spanlede, ontwerp vir Windows stelsels. Dit bied funksies soortgelyk aan Responder, wat spoofing en man-in-the-middle aanvalle uitvoer. Die hulpmiddel het ontwikkel van 'n PowerShell skrip na 'n C# binêre, met Inveigh en InveighZero as die hoof weergawes. Gedetailleerde parameters en instruksies kan in die wiki gevind word.
Inveigh kan deur PowerShell bedryf word:
Of uitgevoer as 'n C# binêre:
Hierdie aanval benut SMB-authentikasiesessies om toegang tot 'n teikenmasjien te verkry, wat 'n stelselshell bied indien suksesvol. Sleutelvoorvereistes sluit in:
Die autentiserende gebruiker moet Lokale Admin-toegang op die oorgedraagde gasheer hê.
SMB-handtekening moet gedeaktiveer wees.
In scenario's waar direkte netwerkintroduksie nie haalbaar is nie, moet verkeer op poort 445 oorgedra en getunnel word. Gereedskap soos PortBender help om poort 445-verkeer na 'n ander poort te herlei, wat noodsaaklik is wanneer lokale admin-toegang beskikbaar is vir bestuurderlaai.
PortBender opstelling en werking in Cobalt Strike:
Metasploit: Opgestel met proxies, plaaslike en afstandlike gasheerbesonderhede.
smbrelayx: 'n Python-skrip vir die oordrag van SMB-sessies en die uitvoer van opdragte of die ontplooiing van agterdeure.
MultiRelay: 'n Gereedskap uit die Responder-suite om spesifieke gebruikers of alle gebruikers te relaye, opdragte uit te voer of hashes te dump.
Elke gereedskap kan gekonfigureer word om deur 'n SOCKS-proxy te werk, indien nodig, wat aanvalle moontlik maak selfs met indirekte netwerktoegang.
MultiRelay word uitgevoer vanaf die /usr/share/responder/tools gids, wat spesifieke IP's of gebruikers teiken.
Hierdie gereedskap en tegnieke vorm 'n omvattende stel vir die uitvoering van NTLM Relay-aanvalle in verskeie netwerkomgewings.
In Windows mag jy in staat wees om sommige bevoorregte rekeninge te dwing om te autentiseer op arbitrêre masjiene. Lees die volgende bladsy om te leer hoe:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
