Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Aprenda e pratique Hacking na AWS:Treinamento HackTricks AWS Red Team Expert (ARTE) Aprenda e pratique Hacking no GCP: Treinamento HackTricks GCP Red Team Expert (GRTE)
LLMNR, NBT-NS e mDNS:
A Microsoft e outros sistemas operacionais utilizam LLMNR e NBT-NS para resolução de nomes locais quando o DNS falha. Da mesma forma, os sistemas Apple e Linux utilizam mDNS.
Esses protocolos são suscetíveis a interceptação e spoofing devido à sua natureza de difusão não autenticada sobre UDP.
O Responder pode ser usado para se passar por serviços enviando respostas falsificadas para hosts que consultam esses protocolos.
Mais informações sobre a impersonação de serviços usando o Responder podem ser encontradas aqui.
O WPAD permite que os navegadores descubram automaticamente as configurações de proxy.
A descoberta é facilitada via DHCP, DNS, ou fallback para LLMNR e NBT-NS se o DNS falhar.
O Responder pode automatizar ataques WPAD, direcionando clientes para servidores WPAD maliciosos.
O Responder é uma ferramenta usada para envenenar consultas LLMNR, NBT-NS e mDNS, respondendo seletivamente com base nos tipos de consulta, visando principalmente os serviços SMB.
Ele vem pré-instalado no Kali Linux, configurável em /etc/responder/Responder.conf.
O Responder exibe hashes capturados na tela e os salva no diretório /usr/share/responder/logs.
Ele suporta tanto IPv4 quanto IPv6.
A versão do Windows do Responder está disponível aqui.
Para executar o Responder com as configurações padrão: responder -I <Interface>
Para sondagem mais agressiva (com potenciais efeitos colaterais): responder -I <Interface> -P -r -v
Técnicas para capturar desafios/respostas NTLMv1 para facilitar a quebra: responder -I <Interface> --lm --disable-ess
A impersonação do WPAD pode ser ativada com: responder -I <Interface> --wpad
As solicitações NetBIOS podem ser resolvidas para o IP do atacante, e um proxy de autenticação pode ser configurado: responder.py -I <interface> -Pv
Falsificar respostas DHCP pode envenenar permanentemente as informações de roteamento de uma vítima, oferecendo uma alternativa mais furtiva ao envenenamento ARP.
Requer conhecimento preciso da configuração da rede alvo.
Executando o ataque: ./Responder.py -I eth0 -Pdv
Este método pode capturar efetivamente hashes NTLMv1/2, mas requer manuseio cuidadoso para evitar a interrupção da rede.
O Responder se passará por serviços usando os protocolos mencionados acima, capturando credenciais (geralmente NTLMv2 Challenge/Response) quando um usuário tenta autenticar-se contra os serviços falsificados.
Tentativas podem ser feitas para rebaixar para NetNTLMv1 ou desativar ESS para facilitar a quebra de credenciais.
É crucial observar que a aplicação dessas técnicas deve ser feita de forma legal e ética, garantindo autorização adequada e evitando interrupções ou acessos não autorizados.
Inveigh é uma ferramenta para testadores de penetração e equipes vermelhas, projetada para sistemas Windows. Oferece funcionalidades semelhantes ao Responder, realizando spoofing e ataques de homem-no-meio. A ferramenta evoluiu de um script PowerShell para um binário C#, com Inveigh e InveighZero como as principais versões. Parâmetros e instruções detalhadas podem ser encontrados na wiki.
Inveigh pode ser operado através do PowerShell:
Ou executado como um binário C#:
Este ataque aproveita sessões de autenticação SMB para acessar uma máquina alvo, concedendo um shell de sistema se bem-sucedido. Pré-requisitos principais incluem:
O usuário autenticado deve ter acesso de Administrador Local no host de retransmissão.
A assinatura SMB deve estar desativada.
Em cenários onde a introdução direta na rede não é viável, o tráfego na porta 445 precisa ser encaminhado e tunelado. Ferramentas como PortBender ajudam a redirecionar o tráfego da porta 445 para outra porta, o que é essencial quando o acesso de administrador local está disponível para carregamento de driver.
Configuração e operação do PortBender no Cobalt Strike:
Metasploit: Configurado com proxies, detalhes do host local e remoto.
smbrelayx: Um script Python para relé de sessões SMB e execução de comandos ou implantação de backdoors.
MultiRelay: Uma ferramenta da suíte Responder para relé de usuários específicos ou todos os usuários, executar comandos ou extrair hashes.
Cada ferramenta pode ser configurada para operar através de um proxy SOCKS, se necessário, permitindo ataques mesmo com acesso de rede indireto.
O MultiRelay é executado a partir do diretório /usr/share/responder/tools, visando IPs ou usuários específicos.
No Windows, você pode ser capaz de forçar algumas contas privilegiadas a se autenticarem em máquinas arbitrárias. Leia a seguinte página para aprender como:
Force NTLM Privileged AuthenticationAprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
