Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS, and mDNS:
Microsoft और अन्य ऑपरेटिंग सिस्टम DNS विफल होने पर स्थानीय नाम समाधान के लिए LLMNR और NBT-NS का उपयोग करते हैं। इसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं।
ये प्रोटोकॉल UDP पर उनकी बिना प्रमाणीकरण, प्रसारण प्रकृति के कारण इंटरसेप्शन और स्पूफिंग के प्रति संवेदनशील हैं।
Responder का उपयोग इन प्रोटोकॉल को क्वेरी करने वाले होस्ट को जाली प्रतिक्रियाएँ भेजकर सेवाओं का अनुकरण करने के लिए किया जा सकता है।
Responder का उपयोग करके सेवा अनुकरण पर अधिक जानकारी यहाँ मिल सकती है।
WPAD ब्राउज़रों को स्वचालित रूप से प्रॉक्सी सेटिंग्स खोजने की अनुमति देता है।
खोज DHCP, DNS के माध्यम से की जाती है, या यदि DNS विफल हो जाता है तो LLMNR और NBT-NS पर वापस जाती है।
Responder WPAD हमलों को स्वचालित कर सकता है, ग्राहकों को दुर्भावनापूर्ण WPAD सर्वरों की ओर निर्देशित कर सकता है।
Responder एक उपकरण है जिसका उपयोग LLMNR, NBT-NS, और mDNS क्वेरीज़ को ज़हर देने के लिए किया जाता है, जो क्वेरी प्रकारों के आधार पर चयनात्मक रूप से प्रतिक्रिया करता है, मुख्य रूप से SMB सेवाओं को लक्षित करता है।
यह Kali Linux में पूर्व-स्थापित आता है, जिसे /etc/responder/Responder.conf पर कॉन्फ़िगर किया जा सकता है।
Responder स्क्रीन पर कैप्चर किए गए हैश प्रदर्शित करता है और उन्हें /usr/share/responder/logs निर्देशिका में सहेजता है।
यह IPv4 और IPv6 दोनों का समर्थन करता है।
Responder का Windows संस्करण यहाँ उपलब्ध है।
डिफ़ॉल्ट सेटिंग्स के साथ Responder चलाने के लिए: responder -I <Interface>
अधिक आक्रामक प्रोबिंग के लिए (संभावित दुष्प्रभावों के साथ): responder -I <Interface> -P -r -v
आसान क्रैकिंग के लिए NTLMv1 चुनौतियों/प्रतिक्रियाओं को कैप्चर करने की तकनीकें: responder -I <Interface> --lm --disable-ess
WPAD अनुकरण को सक्रिय किया जा सकता है: responder -I <Interface> --wpad
NetBIOS अनुरोधों को हमलावर के IP पर हल किया जा सकता है, और एक प्रमाणीकरण प्रॉक्सी स्थापित की जा सकती है: responder.py -I <interface> -Pv
DHCP प्रतिक्रियाओं को स्पूफ करना एक पीड़ित की रूटिंग जानकारी को स्थायी रूप से ज़हर दे सकता है, ARP ज़हर देने के लिए एक अधिक छिपा हुआ विकल्प प्रदान करता है।
यह लक्षित नेटवर्क की कॉन्फ़िगरेशन के बारे में सटीक ज्ञान की आवश्यकता होती है।
हमले को चलाना: ./Responder.py -I eth0 -Pdv
यह विधि NTLMv1/2 हैश को प्रभावी ढंग से कैप्चर कर सकती है, लेकिन नेटवर्क में व्यवधान से बचने के लिए सावधानीपूर्वक हैंडलिंग की आवश्यकता होती है।
Responder उपरोक्त प्रोटोकॉल का उपयोग करके सेवाओं का अनुकरण करेगा, जब एक उपयोगकर्ता स्पूफ की गई सेवाओं के खिलाफ प्रमाणीकरण करने का प्रयास करता है, तो क्रेडेंशियल्स (आमतौर पर NTLMv2 चुनौती/प्रतिक्रिया) कैप्चर करता है।
NetNTLMv1 में डाउनग्रेड करने या आसान क्रेडेंशियल क्रैकिंग के लिए ESS को निष्क्रिय करने का प्रयास किया जा सकता है।
यह महत्वपूर्ण है कि इन तकनीकों का उपयोग कानूनी और नैतिक रूप से किया जाए, उचित प्राधिकरण सुनिश्चित करते हुए और व्यवधान या अनधिकृत पहुंच से बचते हुए।
Inveigh एक उपकरण है जो पेनटेस्टर्स और रेड टीमर्स के लिए डिज़ाइन किया गया है, जो Windows सिस्टम के लिए है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, स्पूफिंग और मैन-इन-द-मिडल हमले करता है। यह उपकरण एक PowerShell स्क्रिप्ट से C# बाइनरी में विकसित हुआ है, जिसमें Inveigh और InveighZero मुख्य संस्करण हैं। विस्तृत पैरामीटर और निर्देश wiki में मिल सकते हैं।
Inveigh को PowerShell के माध्यम से संचालित किया जा सकता है:
या C# बाइनरी के रूप में निष्पादित किया गया:
यह हमला SMB प्रमाणीकरण सत्रों का उपयोग करके एक लक्षित मशीन तक पहुँचने के लिए किया जाता है, यदि सफल हो तो एक सिस्टम शेल प्रदान करता है। प्रमुख पूर्वापेक्षाएँ शामिल हैं:
प्रमाणीकरण करने वाले उपयोगकर्ता को रिले किए गए होस्ट पर स्थानीय व्यवस्थापक पहुँच होनी चाहिए।
SMB साइनिंग को अक्षम किया जाना चाहिए।
उन परिदृश्यों में जहाँ सीधे नेटवर्क परिचय संभव नहीं है, पोर्ट 445 पर ट्रैफ़िक को अग्रेषित और टनल करने की आवश्यकता होती है। PortBender जैसे उपकरण पोर्ट 445 ट्रैफ़िक को दूसरे पोर्ट पर पुनर्निर्देशित करने में मदद करते हैं, जो ड्राइवर लोडिंग के लिए स्थानीय व्यवस्थापक पहुँच उपलब्ध होने पर आवश्यक है।
PortBender सेटअप और संचालन Cobalt Strike में:
Metasploit: प्रॉक्सी, स्थानीय और दूरस्थ होस्ट विवरण के साथ सेटअप करें।
smbrelayx: SMB सत्रों को रिले करने और कमांड निष्पादित करने या बैकडोर तैनात करने के लिए एक पायथन स्क्रिप्ट।
MultiRelay: Responder सूट से एक उपकरण जो विशिष्ट उपयोगकर्ताओं या सभी उपयोगकर्ताओं को रिले करने, कमांड निष्पादित करने या हैश डंप करने के लिए है।
प्रत्येक उपकरण को आवश्यकतानुसार SOCKS प्रॉक्सी के माध्यम से संचालित करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अप्रत्यक्ष नेटवर्क पहुंच के साथ भी हमले सक्षम होते हैं।
MultiRelay /usr/share/responder/tools निर्देशिका से निष्पादित किया जाता है, विशिष्ट IPs या उपयोगकर्ताओं को लक्षित करता है।
ये उपकरण और तकनीकें विभिन्न नेटवर्क वातावरण में NTLM Relay हमलों को करने के लिए एक व्यापक सेट बनाती हैं।
Windows में आप कुछ विशेषाधिकार प्राप्त खातों को मनमाने मशीनों पर प्रमाणीकरण करने के लिए मजबूर कर सकते हैं। जानने के लिए निम्नलिखित पृष्ठ पढ़ें:
Force NTLM Privileged AuthenticationAWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
