Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Mrežni protokoli
Protokoli za lokalno rešavanje imena domaćina
LLMNR, NBT-NS i mDNS:
Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalno rešavanje imena kada DNS ne uspe. Slično tome, Apple i Linux sistemi koriste mDNS.
Ovi protokoli su podložni presretanju i falsifikovanju zbog njihove neautentifikovane, emitovane prirode preko UDP-a.
Responder se može koristiti za predstavljanje usluga slanjem lažnih odgovora na hostove koji upituju ove protokole.
Više informacija o predstavljanju usluga korišćenjem Responder-a možete pronaći ovde.
Protokol za automatsko otkrivanje veb proxy-ja (WPAD)
WPAD omogućava pretraživačima automatsko otkrivanje podešavanja proxy servera.
Otkrivanje se olakšava putem DHCP-a, DNS-a, ili prelaskom na LLMNR i NBT-NS ako DNS ne uspe.
Responder može automatizovati napade WPAD-om, usmeravajući klijente ka zlonamernim WPAD serverima.
Responder za trovanje protokola
Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na vrste upita, uglavnom ciljajući SMB servise.
Dolazi preinstaliran u Kali Linux-u, konfigurabilan na lokaciji
/etc/responder/Responder.conf
.Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu
/usr/share/responder/logs
.Podržava IPv4 i IPv6.
Windows verzija Responder-a je dostupna ovde.
Pokretanje Responder-a
Za pokretanje Responder-a sa podrazumevanim podešavanjima:
responder -I <Interfejs>
Za agresivnije sondiranje (sa potencijalnim sporednim efektima):
responder -I <Interfejs> -P -r -v
Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg dešifrovanja:
responder -I <Interfejs> --lm --disable-ess
Impersonacija WPAD-a može se aktivirati sa:
responder -I <Interfejs> --wpad
NetBIOS zahtevi mogu se rešiti ka IP adresi napadača, i može se postaviti autentifikacioni proksi:
responder.py -I <interfejs> -Pv
Trovanje DHCP-a sa Responder-om
Falsifikovanje DHCP odgovora može trajno otrovati informacije o rutiranju žrtve, nudeći prikriveniju alternativu ARP trovanju.
Zahteva precizno poznavanje konfiguracije ciljne mreže.
Pokretanje napada:
./Responder.py -I eth0 -Pdv
Ovaj metod može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbegla prekida mreže.
Hvatanje akreditacija sa Responder-om
Responder će se predstavljati kao usluge koristeći pomenute protokole, hvatajući akreditacije (obično NTLMv2 Izazov/Odgovor) kada korisnik pokuša da se autentifikuje protiv falsifikovanih usluga.
Mogu se preduzeti pokušaji da se smanji na NetNTLMv1 ili onemogući ESS radi lakšeg dešifrovanja akreditacija.
Važno je napomenuti da primena ovih tehnika treba da se obavlja legalno i etički, obezbeđujući odgovarajuću autorizaciju i izbegavajući prekide ili neovlašćen pristup.
Inveigh
Inveigh je alat za testere penetracije i crvene timove, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, izvodeći falsifikovanje i napade čoveka u sredini. Alat se razvio iz PowerShell skripte u C# binarni, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i instrukcije mogu se pronaći u wiki.
Inveigh se može koristiti putem PowerShell-a:
Ili izvršen kao C# binarni fajl:
NTLM Relay Napad
Ovaj napad koristi SMB autentikacione sesije kako bi pristupio ciljnom računaru, dodeljujući sistemsku ljusku ako je uspešan. Ključni preduslovi uključuju:
Autentifikacioni korisnik mora imati lokalni Admin pristup na preusmerenom hostu.
SMB potpisivanje treba da bude onemogućeno.
Preusmeravanje i tuneliranje porta 445
U scenarijima gde direktno umrežavanje nije izvodljivo, saobraćaj na portu 445 treba preusmeriti i tunelirati. Alati poput PortBender pomažu u preusmeravanju saobraćaja sa porta 445 na drugi port, što je esencijalno kada je lokalni admin pristup dostupan za učitavanje drajvera.
Postavljanje i rad PortBender-a u Cobalt Strike-u:
Ostali alati za NTLM Relay napad
Metasploit: Podešen sa proxy-jem, lokalnim i udaljenim detaljima hosta.
smbrelayx: Python skripta za preusmeravanje SMB sesija i izvršavanje komandi ili implementaciju zadnjih vrata.
MultiRelay: Alat iz Responder paketa za preusmeravanje određenih korisnika ili svih korisnika, izvršavanje komandi ili ispisivanje heševa.
Svaki alat može biti konfigurisan da radi preko SOCKS proxy-ja ako je potrebno, omogućavajući napade čak i sa indirektnim pristupom mreži.
Rad MultiRelay-a
MultiRelay se pokreće iz /usr/share/responder/tools direktorijuma, ciljajući određene IP adrese ili korisnike.
Prisiljavanje NTLM prijava
U sistemu Windows možda ćete moći da prisilite neke privilegovane naloge da se autentifikuju na proizvoljnim mašinama. Pročitajte sledeću stranicu da biste saznali kako:
Force NTLM Privileged AuthenticationReference
Last updated