Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS, and mDNS:
Η Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν LLMNR και NBT-NS για τοπική ανάλυση ονομάτων όταν αποτυγχάνει το DNS. Ομοίως, τα συστήματα της Apple και του Linux χρησιμοποιούν mDNS.
Αυτά τα πρωτόκολλα είναι ευάλωτα σε παρεμβολές και spoofing λόγω της μη αυθεντικοποιημένης, ραδιοφωνικής φύσης τους μέσω UDP.
Responder μπορεί να χρησιμοποιηθεί για να προσποιηθεί υπηρεσίες στέλνοντας ψευδείς απαντήσεις σε hosts που ερωτούν αυτά τα πρωτόκολλα.
Περαιτέρω πληροφορίες σχετικά με την προσποίηση υπηρεσιών χρησιμοποιώντας το Responder μπορούν να βρεθούν εδώ.
Το WPAD επιτρέπει στους περιηγητές να ανακαλύπτουν αυτόματα τις ρυθμίσεις proxy.
Η ανακάλυψη διευκολύνεται μέσω DHCP, DNS ή εναλλακτικά σε LLMNR και NBT-NS αν αποτύχει το DNS.
Το Responder μπορεί να αυτοματοποιήσει τις επιθέσεις WPAD, κατευθύνοντας τους πελάτες σε κακόβουλους διακομιστές WPAD.
Responder είναι ένα εργαλείο που χρησιμοποιείται για την δηλητηρίαση ερωτημάτων LLMNR, NBT-NS και mDNS, απαντώντας επιλεκτικά με βάση τους τύπους ερωτημάτων, κυρίως στοχεύοντας υπηρεσίες SMB.
Έρχεται προεγκατεστημένο στο Kali Linux, ρυθμιζόμενο στο /etc/responder/Responder.conf.
Το Responder εμφανίζει τις συλληφθείσες κατακερματισμένες τιμές στην οθόνη και τις αποθηκεύει στον κατάλογο /usr/share/responder/logs.
Υποστηρίζει τόσο IPv4 όσο και IPv6.
Η έκδοση Windows του Responder είναι διαθέσιμη εδώ.
Για να τρέξετε το Responder με προεπιλεγμένες ρυθμίσεις: responder -I <Interface>
Για πιο επιθετική αναζήτηση (με πιθανές παρενέργειες): responder -I <Interface> -P -r -v
Τεχνικές για να συλλάβετε προκλήσεις/απαντήσεις NTLMv1 για ευκολότερη διάσπαση: responder -I <Interface> --lm --disable-ess
Η προσποίηση WPAD μπορεί να ενεργοποιηθεί με: responder -I <Interface> --wpad
Τα αιτήματα NetBIOS μπορούν να επιλυθούν στη διεύθυνση IP του επιτιθέμενου, και μπορεί να ρυθμιστεί ένας proxy αυθεντικοποίησης: responder.py -I <interface> -Pv
Η προσποίηση των απαντήσεων DHCP μπορεί να δηλητηριάσει μόνιμα τις πληροφορίες δρομολόγησης ενός θύματος, προσφέροντας μια πιο διακριτική εναλλακτική λύση από την δηλητηρίαση ARP.
Απαιτεί ακριβή γνώση της διαμόρφωσης του δικτύου στόχου.
Εκτέλεση της επίθεσης: ./Responder.py -I eth0 -Pdv
Αυτή η μέθοδος μπορεί να συλλάβει αποτελεσματικά τις κατακερματισμένες τιμές NTLMv1/2, αλλά απαιτεί προσεκτική διαχείριση για να αποφευχθεί η διακοπή του δικτύου.
Το Responder θα προσποιηθεί υπηρεσίες χρησιμοποιώντας τα παραπάνω πρωτόκολλα, συλλαμβάνοντας διαπιστευτήρια (συνήθως NTLMv2 Challenge/Response) όταν ένας χρήστης προσπαθεί να αυθεντικοποιηθεί σε κακόβουλες υπηρεσίες.
Μπορούν να γίνουν προσπάθειες υποβάθμισης σε NetNTLMv1 ή απενεργοποίησης ESS για ευκολότερη διάσπαση διαπιστευτηρίων.
Είναι κρίσιμο να σημειωθεί ότι η χρήση αυτών των τεχνικών θα πρέπει να γίνεται νομίμως και ηθικά, εξασφαλίζοντας την κατάλληλη εξουσιοδότηση και αποφεύγοντας τη διακοπή ή μη εξουσιοδοτημένη πρόσβαση.
Το Inveigh είναι ένα εργαλείο για τους δοκιμαστές διείσδυσης και τις ομάδες κόκκινων, σχεδιασμένο για συστήματα Windows. Προσφέρει λειτουργίες παρόμοιες με το Responder, εκτελώντας επιθέσεις spoofing και man-in-the-middle. Το εργαλείο έχει εξελιχθεί από ένα σενάριο PowerShell σε ένα δυαδικό αρχείο C#, με Inveigh και InveighZero ως τις κύριες εκδόσεις. Λεπτομερείς παράμετροι και οδηγίες μπορούν να βρεθούν στο wiki.
Το Inveigh μπορεί να λειτουργήσει μέσω PowerShell:
Ή εκτελείται ως δυαδικό αρχείο C#:
Αυτή η επίθεση εκμεταλλεύεται τις συνεδρίες αυθεντικοποίησης SMB για να αποκτήσει πρόσβαση σε μια στοχοθετημένη μηχανή, παρέχοντας ένα σύστημα shell αν είναι επιτυχής. Οι βασικές προϋποθέσεις περιλαμβάνουν:
Ο αυθεντικοποιούμενος χρήστης πρέπει να έχει πρόσβαση Local Admin στον αναμεταδιδόμενο υπολογιστή.
Η υπογραφή SMB θα πρέπει να είναι απενεργοποιημένη.
Σε σενάρια όπου η άμεση δικτυακή εισαγωγή δεν είναι εφικτή, η κίνηση στην πόρτα 445 πρέπει να προωθηθεί και να τούνελ. Εργαλεία όπως το PortBender βοηθούν στην ανακατεύθυνση της κίνησης της πόρτας 445 σε άλλη πόρτα, κάτι που είναι απαραίτητο όταν υπάρχει πρόσβαση local admin για τη φόρτωση οδηγών.
PortBender setup and operation in Cobalt Strike:
Metasploit: Ρυθμίστε με proxies, λεπτομέρειες τοπικών και απομακρυσμένων hosts.
smbrelayx: Ένα σενάριο Python για την αναμετάδοση SMB συνεδριών και την εκτέλεση εντολών ή την ανάπτυξη backdoors.
MultiRelay: Ένα εργαλείο από τη σουίτα Responder για την αναμετάδοση συγκεκριμένων χρηστών ή όλων των χρηστών, την εκτέλεση εντολών ή την εξαγωγή hashes.
Κάθε εργαλείο μπορεί να ρυθμιστεί να λειτουργεί μέσω SOCKS proxy αν είναι απαραίτητο, επιτρέποντας επιθέσεις ακόμη και με έμμεση πρόσβαση στο δίκτυο.
Το MultiRelay εκτελείται από τον /usr/share/responder/tools φάκελο, στοχεύοντας συγκεκριμένες IP ή χρήστες.
Αυτά τα εργαλεία και οι τεχνικές σχηματίζουν ένα ολοκληρωμένο σύνολο για την εκτέλεση επιθέσεων NTLM Relay σε διάφορα δίκτυα.
Στα Windows, μπορεί να είστε σε θέση να εξαναγκάσετε κάποιους προνομιούχους λογαριασμούς να αυθεντικοποιηθούν σε αυθαίρετες μηχανές. Διαβάστε την παρακάτω σελίδα για να μάθετε πώς:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
