Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Naučite i vežbajte hakovanje AWS-a:HackTricks Obuka AWS Crveni Tim Stručnjak (ARTE) Naučite i vežbajte hakovanje GCP-a: HackTricks Obuka GCP Crveni Tim Stručnjak (GRTE)
LLMNR, NBT-NS i mDNS:
Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalno rešavanje imena kada DNS ne uspe. Slično tome, Apple i Linux sistemi koriste mDNS.
Ovi protokoli su podložni presretanju i falsifikovanju zbog njihove neautentifikovane, emitovane prirode preko UDP-a.
Responder se može koristiti za predstavljanje usluga slanjem lažnih odgovora na hostove koji upituju ove protokole.
Više informacija o predstavljanju usluga korišćenjem Responder-a možete pronaći ovde.
WPAD omogućava pretraživačima automatsko otkrivanje podešavanja proxy servera.
Otkrivanje se olakšava putem DHCP-a, DNS-a, ili prelaskom na LLMNR i NBT-NS ako DNS ne uspe.
Responder može automatizovati napade WPAD-om, usmeravajući klijente ka zlonamernim WPAD serverima.
Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na vrste upita, uglavnom ciljajući SMB servise.
Dolazi preinstaliran u Kali Linux-u, konfigurabilan na lokaciji /etc/responder/Responder.conf
.
Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu /usr/share/responder/logs
.
Podržava IPv4 i IPv6.
Windows verzija Responder-a je dostupna ovde.
Za pokretanje Responder-a sa podrazumevanim podešavanjima: responder -I <Interfejs>
Za agresivnije sondiranje (sa potencijalnim sporednim efektima): responder -I <Interfejs> -P -r -v
Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg dešifrovanja: responder -I <Interfejs> --lm --disable-ess
Impersonacija WPAD-a može se aktivirati sa: responder -I <Interfejs> --wpad
NetBIOS zahtevi mogu se rešiti ka IP adresi napadača, i može se postaviti autentifikacioni proksi: responder.py -I <interfejs> -Pv
Falsifikovanje DHCP odgovora može trajno otrovati informacije o rutiranju žrtve, nudeći prikriveniju alternativu ARP trovanju.
Zahteva precizno poznavanje konfiguracije ciljne mreže.
Pokretanje napada: ./Responder.py -I eth0 -Pdv
Ovaj metod može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbegla prekida mreže.
Responder će se predstavljati kao usluge koristeći pomenute protokole, hvatajući akreditacije (obično NTLMv2 Izazov/Odgovor) kada korisnik pokuša da se autentifikuje protiv falsifikovanih usluga.
Mogu se preduzeti pokušaji da se smanji na NetNTLMv1 ili onemogući ESS radi lakšeg dešifrovanja akreditacija.
Važno je napomenuti da primena ovih tehnika treba da se obavlja legalno i etički, obezbeđujući odgovarajuću autorizaciju i izbegavajući prekide ili neovlašćen pristup.
Inveigh je alat za testere penetracije i crvene timove, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, izvodeći falsifikovanje i napade čoveka u sredini. Alat se razvio iz PowerShell skripte u C# binarni, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i instrukcije mogu se pronaći u wiki.
Inveigh se može koristiti putem PowerShell-a:
Ili izvršen kao C# binarni fajl:
Ovaj napad koristi SMB autentikacione sesije kako bi pristupio ciljnom računaru, dodeljujući sistemsku ljusku ako je uspešan. Ključni preduslovi uključuju:
Autentifikacioni korisnik mora imati lokalni Admin pristup na preusmerenom hostu.
SMB potpisivanje treba da bude onemogućeno.
U scenarijima gde direktno umrežavanje nije izvodljivo, saobraćaj na portu 445 treba preusmeriti i tunelirati. Alati poput PortBender pomažu u preusmeravanju saobraćaja sa porta 445 na drugi port, što je esencijalno kada je lokalni admin pristup dostupan za učitavanje drajvera.
Postavljanje i rad PortBender-a u Cobalt Strike-u:
Metasploit: Podešen sa proxy-jem, lokalnim i udaljenim detaljima hosta.
smbrelayx: Python skripta za preusmeravanje SMB sesija i izvršavanje komandi ili implementaciju zadnjih vrata.
MultiRelay: Alat iz Responder paketa za preusmeravanje određenih korisnika ili svih korisnika, izvršavanje komandi ili ispisivanje heševa.
Svaki alat može biti konfigurisan da radi preko SOCKS proxy-ja ako je potrebno, omogućavajući napade čak i sa indirektnim pristupom mreži.
MultiRelay se pokreće iz /usr/share/responder/tools direktorijuma, ciljajući određene IP adrese ili korisnike.
U sistemu Windows možda ćete moći da prisilite neke privilegovane naloge da se autentifikuju na proizvoljnim mašinama. Pročitajte sledeću stranicu da biste saznali kako:
Force NTLM Privileged AuthenticationNaučite i vežbajte hakovanje AWS:HackTricks Training AWS Red Team Expert (ARTE) Naučite i vežbajte hakovanje GCP-a: HackTricks Training GCP Red Team Expert (GRTE)