Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Lernen Sie und üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie und üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS und mDNS:
Microsoft und andere Betriebssysteme verwenden LLMNR und NBT-NS zur lokalen Namensauflösung, wenn DNS fehlschlägt. Ebenso verwenden Apple- und Linux-Systeme mDNS.
Diese Protokolle sind anfällig für Abfangen und Spoofing aufgrund ihrer nicht authentifizierten, broadcastartigen Natur über UDP.
Responder kann verwendet werden, um Dienste zu imitieren, indem gefälschte Antworten an Hosts gesendet werden, die diese Protokolle abfragen.
Weitere Informationen zur Dienstimitation mit Responder finden Sie hier.
WPAD ermöglicht Browsern, Proxyeinstellungen automatisch zu entdecken.
Die Entdeckung erfolgt über DHCP, DNS oder Rückgriff auf LLMNR und NBT-NS, wenn DNS fehlschlägt.
Responder kann WPAD-Angriffe automatisieren und Clients zu bösartigen WPAD-Servern umleiten.
Responder ist ein Tool, das zur Vergiftung von LLMNR-, NBT-NS- und mDNS-Abfragen verwendet wird und selektiv auf Abfragetypen reagiert, hauptsächlich auf SMB-Dienste abzielt.
Es ist in Kali Linux vorinstalliert und unter /etc/responder/Responder.conf konfigurierbar.
Responder zeigt erfasste Hashes auf dem Bildschirm an und speichert sie im Verzeichnis /usr/share/responder/logs.
Es unterstützt sowohl IPv4 als auch IPv6.
Die Windows-Version von Responder ist hier verfügbar.
Um Responder mit den Standardeinstellungen auszuführen: responder -I <Schnittstelle>
Für aggressiveres Sondieren (mit potenziellen Nebenwirkungen): responder -I <Schnittstelle> -P -r -v
Techniken zum Erfassen von NTLMv1-Herausforderungen/Antworten für einfachere Knackvorgänge: responder -I <Schnittstelle> --lm --disable-ess
Die WPAD-Imitation kann aktiviert werden mit: responder -I <Schnittstelle> --wpad
NetBIOS-Anfragen können zur IP des Angreifers aufgelöst und ein Authentifizierungsproxy eingerichtet werden: responder.py -I <Schnittstelle> -Pv
Das Spoofing von DHCP-Antworten kann die Routinginformationen eines Opfers dauerhaft vergiften und bietet eine unauffälligere Alternative zum ARP-Spoofing.
Es erfordert genaue Kenntnisse der Konfiguration des Zielnetzwerks.
Ausführen des Angriffs: ./Responder.py -I eth0 -Pdv
Diese Methode kann effektiv NTLMv1/2-Hashes erfassen, erfordert jedoch eine sorgfältige Handhabung, um Netzwerkstörungen zu vermeiden.
Responder wird Dienste mit den oben genannten Protokollen imitieren und Anmeldedaten erfassen (in der Regel NTLMv2 Challenge/Response), wenn ein Benutzer versucht, sich gegen die gefälschten Dienste zu authentifizieren.
Versuche können unternommen werden, um auf NetNTLMv1 herabzustufen oder ESS zu deaktivieren, um das Knacken von Anmeldeinformationen zu erleichtern.
Es ist wichtig zu beachten, dass der Einsatz dieser Techniken legal und ethisch erfolgen sollte, um eine ordnungsgemäße Autorisierung sicherzustellen und Störungen oder unbefugten Zugriff zu vermeiden.
Inveigh ist ein Tool für Penetrationstester und Red Teamer, das für Windows-Systeme entwickelt wurde. Es bietet ähnliche Funktionen wie Responder und führt Spoofing- und Man-in-the-Middle-Angriffe durch. Das Tool hat sich von einem PowerShell-Skript zu einer C#-Binärdatei entwickelt, mit Inveigh und InveighZero als Hauptversionen. Detaillierte Parameter und Anweisungen finden Sie im Wiki.
Inveigh kann über PowerShell betrieben werden:
Oder ausgeführt als eine C#-Binärdatei:
Dieser Angriff nutzt SMB-Authentifizierungssitzungen, um auf eine Zielmaschine zuzugreifen und bei Erfolg eine Systemshell zu erhalten. Wichtige Voraussetzungen sind:
Der authentifizierende Benutzer muss über lokale Admin-Zugriffsrechte auf dem weitergeleiteten Host verfügen.
SMB-Signierung sollte deaktiviert sein.
In Szenarien, in denen eine direkte Netzwerkeinführung nicht möglich ist, muss der Datenverkehr auf Port 445 weitergeleitet und getunnelt werden. Tools wie PortBender helfen dabei, den Port 445-Verkehr auf einen anderen Port umzuleiten, was entscheidend ist, wenn lokale Admin-Zugriffsrechte für das Laden von Treibern verfügbar sind.
PortBender Einrichtung und Betrieb in Cobalt Strike:
Metasploit: Einrichten mit Proxies, lokalen und entfernten Host-Details.
smbrelayx: Ein Python-Skript zum Weiterleiten von SMB-Sitzungen und Ausführen von Befehlen oder Bereitstellen von Hintertüren.
MultiRelay: Ein Tool aus der Responder-Suite zum Weiterleiten bestimmter Benutzer oder aller Benutzer, Ausführen von Befehlen oder Dumpen von Hashes.
Jedes Tool kann konfiguriert werden, um bei Bedarf über einen SOCKS-Proxy zu arbeiten, was Angriffe auch bei indirektem Netzwerkzugriff ermöglicht.
MultiRelay wird aus dem /usr/share/responder/tools Verzeichnis ausgeführt und zielt auf spezifische IPs oder Benutzer ab.
In Windows können Sie möglicherweise einige privilegierte Konten zwingen, sich bei beliebigen Maschinen anzumelden. Lesen Sie die folgende Seite, um zu erfahren, wie:
Force NTLM Privileged AuthenticationLernen Sie & üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie & üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
