Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS 和 mDNS:
微软和其他操作系统在 DNS 失败时使用 LLMNR 和 NBT-NS 进行本地名称解析。类似地,苹果和 Linux 系统使用 mDNS。
由于这些协议在 UDP 上的未认证广播特性,它们容易受到拦截和欺骗。
Responder 可用于通过向查询这些协议的主机发送伪造响应来冒充服务。
有关使用 Responder 进行服务冒充的更多信息,请参见 这里。
WPAD 允许浏览器自动发现代理设置。
通过 DHCP、DNS 进行发现,或在 DNS 失败时回退到 LLMNR 和 NBT-NS。
Responder 可以自动化 WPAD 攻击,将客户端引导到恶意 WPAD 服务器。
Responder 是一个用于中毒 LLMNR、NBT-NS 和 mDNS 查询的工具,根据查询类型选择性响应,主要针对 SMB 服务。
它在 Kali Linux 中预装,可在 /etc/responder/Responder.conf
中配置。
Responder 在屏幕上显示捕获的哈希并将其保存在 /usr/share/responder/logs
目录中。
它支持 IPv4 和 IPv6。
Windows 版本的 Responder 可在 这里 获取。
使用默认设置运行 Responder:responder -I <Interface>
进行更激进的探测(可能有副作用):responder -I <Interface> -P -r -v
捕获 NTLMv1 挑战/响应以便于破解的技术:responder -I <Interface> --lm --disable-ess
可以通过以下命令激活 WPAD 冒充:responder -I <Interface> --wpad
NetBIOS 请求可以解析为攻击者的 IP,并可以设置身份验证代理:responder.py -I <interface> -Pv
伪造 DHCP 响应可以永久中毒受害者的路由信息,提供比 ARP 中毒更隐蔽的替代方案。
这需要对目标网络配置的精确了解。
运行攻击:./Responder.py -I eth0 -Pdv
这种方法可以有效捕获 NTLMv1/2 哈希,但需要小心处理以避免网络中断。
Responder 将使用上述协议冒充服务,当用户尝试对伪造服务进行身份验证时捕获凭据(通常是 NTLMv2 挑战/响应)。
可以尝试降级到 NetNTLMv1 或禁用 ESS 以便于凭据破解。
重要的是要注意,使用这些技术应合法和道德,确保获得适当授权,避免干扰或未经授权的访问。
Inveigh 是一个针对渗透测试人员和红队成员的工具,专为 Windows 系统设计。它提供与 Responder 类似的功能,执行欺骗和中间人攻击。该工具已从 PowerShell 脚本演变为 C# 二进制文件,主要版本为 Inveigh 和 InveighZero。详细参数和说明可以在 wiki 中找到。
Inveigh 可以通过 PowerShell 操作:
或作为 C# 二进制文件执行:
此攻击利用 SMB 认证会话访问目标机器,如果成功则授予系统 shell。关键前提包括:
认证用户必须在中继主机上具有本地管理员访问权限。
SMB 签名应禁用。
在直接网络引入不可行的情况下,需要转发和隧道 445 端口上的流量。像 PortBender 这样的工具有助于将 445 端口流量重定向到另一个端口,这在具有驱动程序加载的本地管理员访问权限时至关重要。
PortBender 在 Cobalt Strike 中的设置和操作:
Metasploit: 设置代理、本地和远程主机详细信息。
smbrelayx: 用于中继SMB会话并执行命令或部署后门的Python脚本。
MultiRelay: Responder套件中的一个工具,用于中继特定用户或所有用户,执行命令或转储哈希。
每个工具都可以配置通过SOCKS代理操作,如果需要,即使在间接网络访问的情况下也能进行攻击。
MultiRelay从_/usr/share/responder/tools_目录执行,针对特定IP或用户。
这些工具和技术形成了一套全面的工具,用于在各种网络环境中进行 NTLM Relay 攻击。
在 Windows 中,您可能能够强制某些特权账户对任意机器进行身份验证。请阅读以下页面以了解如何操作:
Force NTLM Privileged Authentication学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)