Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Μάθετε & εξασκηθείτε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
LLMNR, NBT-NS και mDNS:
Η Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν τα LLMNR και NBT-NS για την τοπική ανάλυση ονομάτων όταν αποτυγχάνει το DNS. Αντίστοιχα, τα συστήματα της Apple και του Linux χρησιμοποιούν το mDNS.
Αυτά τα πρωτόκολλα είναι ευάλωτα στην παρεμβολή και πλαστογράφηση λόγω της μη ελεγχόμενης, εκπομπής φύσης τους μέσω UDP.
Το Responder μπορεί να χρησιμοποιηθεί για να παριστάνει υπηρεσίες αποστέλλοντας πλαστές απαντήσεις σε υπολογιστές που ερωτούν αυτά τα πρωτόκολλα.
Περισσότερες πληροφορίες σχετικά με την παραστάση υπηρεσιών χρησιμοποιώντας το Responder μπορούν να βρεθούν εδώ.
Το WPAD επιτρέπει στους περιηγητές να ανακαλύπτουν αυτόματα τις ρυθμίσεις του διακομιστή μεσολάβησης.
Η ανακάλυψη διευκολύνεται μέσω DHCP, DNS, ή ανατροφοδότηση στα LLMNR και NBT-NS αν αποτύχει το DNS.
Το Responder μπορεί να αυτοματοποιήσει επιθέσεις WPAD, καθοδηγώντας τους πελάτες σε κακόβουλους διακομιστές WPAD.
Ο Responder είναι ένα εργαλείο που χρησιμοποιείται για τη δηλητηρίαση των ερωτημάτων LLMNR, NBT-NS και mDNS, απαντώντας εκλεκτικά βάσει τύπων ερωτημάτων, κατευθυνόμενο κυρίως σε υπηρεσίες SMB.
Έρχεται προεγκατεστημένο στο Kali Linux, ρυθμίσιμο στο /etc/responder/Responder.conf.
Ο Responder εμφανίζει τα καταγεγραμμένα hashes στην οθόνη και τα αποθηκεύει στον κατάλογο /usr/share/responder/logs.
Υποστηρίζει τόσο IPv4 όσο και IPv6.
Η έκδοση του Responder για Windows είναι διαθέσιμη εδώ.
Για να εκτελέσετε το Responder με τις προεπιλεγμένες ρυθμίσεις: responder -I <Διεπαφή>
Για πιο επιθετική ανίχνευση (με πιθανές παρενέργειες): responder -I <Διεπαφή> -P -r -v
Τεχνικές για την καταγραφή προκλήσεων/απαντήσεων NTLMv1 για ευκολότερη αποκρυπτογράφηση: responder -I <Διεπαφή> --lm --disable-ess
Η παραστάση του WPAD μπορεί να ενεργοποιηθεί με: responder -I <Διεπαφή> --wpad
Οι αιτήσεις NetBIOS μπορούν να επιλυθούν στη διεύθυνση IP του επιτιθέμενου, και μπορεί να δημιουργηθεί ένας διακομιστής εξουσιοδότησης: responder.py -I <διεπαφή> -Pv
Η πλαστογράφηση απαντήσεων DHCP μπορεί να δηλητηριάσει μόνιμα τις πληροφορίες δρομολόγησης ενός θύματος, προσφέροντας μια πιο αόρατη εναλλακτική λύση στη δηλητηρίαση ARP.
Απαιτεί ακριβή γνώση της δικτυακής διαμόρφωσης του στόχου.
Εκτέλεση της επίθεσης: ./Responder.py -I eth0 -Pdv
Αυτή η μέθοδος μπορεί να αιχμαλωτίσει αποτελεσματικά hashes NTLMv1/2, αλλά απαιτεί προσεκτική χειραγώγηση για να αποφευχθεί η διαταραχή του δικτύου.
Ο Responder θα παριστάνει υπηρεσίες χρησιμοποιώντας τα παραπάνω αναφερόμενα πρωτόκολλα, καταγράφοντας διαπιστευτήρια (συνήθως πρόκληση/απάντηση NTLMv2) όταν ένας χρήστης προσπαθεί να πιστοποιηθεί εναντίον των πλαστογραφημένων υπηρεσιών.
Μπορούν να γίνουν προσπάθειες για υποβάθμιση σε NetNTLMv1 ή απενεργοποίηση του ESS για ευκολότερη αποκρυπτογράφηση διαπιστευτηρίων.
Είναι ζωτικής σημασίας να σημειώσουμε ότι η χρήση αυτών των τεχνικών πρέπει να γίνεται νόμιμα και ηθικά, εξασφαλίζοντας την κατάλληλη εξουσιοδότηση και αποφεύγοντας τη διαταραχή ή την μη εξουσιοδοτημένη πρόσβαση.
Το Inveigh είναι ένα εργαλείο για δοκιμαστές διείσδυσης και ομάδες Red Team, σχεδιασμένο για συστήματα Windows. Προσφέρει λειτουργίες παρόμοιες με το Responder, εκτελώντας πλαστογράφηση και επιθέσεις man-in-the-middle. Το εργαλείο έχει εξελιχθεί από ένα σενάριο PowerShell σε ένα δυαδικό αρχείο C#, με τα Inveigh και InveighZero ως τις κύριες εκδόσεις. Λεπτομερείς παράμετροι και οδηγίες μπορούν να βρεθούν στο wiki.
Το Inveigh μπορεί να λειτουργήσει μέσω PowerShell:
Ή εκτελείται ως δυαδικό αρχείο C#:
Αυτή η επίθεση εκμεταλλεύεται τις συνεδρίες ελέγχου ταυτότητας SMB για πρόσβαση σε έναν στόχο υπολογιστή, παρέχοντας ένα κέλυφος συστήματος σε περίπτωση επιτυχίας. Βασικές προϋποθέσεις περιλαμβάνουν:
Ο χρήστης που πιστοποιείται πρέπει να έχει πρόσβαση Διαχειριστή τοπικά στον υπολογιστή προώθησης.
Η υπογραφή SMB πρέπει να είναι απενεργοποιημένη.
Σε περιπτώσεις όπου δεν είναι εφικτή η άμεση εισαγωγή στο δίκτυο, η κίνηση στη θύρα 445 πρέπει να προωθηθεί και να τουνελιστεί. Εργαλεία όπως το PortBender βοηθούν στην ανακατεύθυνση της κίνησης στη θύρα 445 σε μια άλλη θύρα, το οποίο είναι απαραίτητο όταν η πρόσβαση Διαχειριστή είναι διαθέσιμη για τη φόρτωση οδηγών.
Ρύθμιση και λειτουργία του PortBender στο Cobalt Strike:
Metasploit: Ρύθμιση με διακομιστές μεσολάβησης, τοπικές και απομακρυσμένες λεπτομέρειες του κεντρικού υπολογιστή.
smbrelayx: Ένα σενάριο Python για την ανακατεύθυνση συνεδριών SMB και την εκτέλεση εντολών ή την ανάπτυξη παγίδων.
MultiRelay: Ένα εργαλείο από τη σουίτα Responder για την ανακατεύθυνση συγκεκριμένων χρηστών ή όλων των χρηστών, την εκτέλεση εντολών ή την απόρριψη κατακερματισμών.
Κάθε εργαλείο μπορεί να ρυθμιστεί για λειτουργία μέσω ενός διακομιστή μεσολάβησης SOCKS εάν είναι απαραίτητο, επιτρέποντας επιθέσεις ακόμη και με έμμεση πρόσβαση στο δίκτυο.
Το MultiRelay εκτελείται από τον φάκελο /usr/share/responder/tools, εστιάζοντας σε συγκεκριμένες διευθύνσεις IP ή χρήστες.
Στα Windows μπορείτε να εξαναγκάσετε ορισμένους προνομιούχους λογαριασμούς να πιστοποιηθούν σε αυθαίρετες μηχανές. Διαβάστε την παρακάτω σελίδα για να μάθετε πώς:
Force NTLM Privileged AuthenticationΜάθετε & εξασκηθείτε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
