Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS, and mDNS:
Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalno rešavanje imena kada DNS zakaže. Slično, Apple i Linux sistemi koriste mDNS.
Ovi protokoli su podložni presretanju i spoofingu zbog svoje neautentifikovane, broadcast prirode preko UDP-a.
Responder se može koristiti za impersonaciju usluga slanjem lažnih odgovora hostovima koji postavljaju upite ovim protokolima.
Dodatne informacije o impersonaciji usluga koristeći Responder mogu se naći ovde.
WPAD omogućava pretraživačima da automatski otkriju postavke proxy-a.
Otkriće se olakšava putem DHCP-a, DNS-a, ili povratka na LLMNR i NBT-NS ako DNS zakaže.
Responder može automatizovati WPAD napade, usmeravajući klijente ka zlonamernim WPAD serverima.
Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na osnovu tipova upita, prvenstveno cilja SMB usluge.
Dolazi unapred instaliran u Kali Linux-u, konfigurisanje se vrši na /etc/responder/Responder.conf.
Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu /usr/share/responder/logs.
Podržava i IPv4 i IPv6.
Windows verzija Responder-a je dostupna ovde.
Da biste pokrenuli Responder sa podrazumevanim postavkama: responder -I <Interface>
Za agresivnije ispitivanje (sa potencijalnim nuspojavama): responder -I <Interface> -P -r -v
Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg razbijanja: responder -I <Interface> --lm --disable-ess
WPAD impersonacija može se aktivirati sa: responder -I <Interface> --wpad
NetBIOS zahtevi mogu se rešiti na IP napadača, a može se postaviti i proxy za autentifikaciju: responder.py -I <interface> -Pv
Spoofing DHCP odgovora može trajno otrovati rutiranje informacija žrtve, nudeći diskretniju alternativu ARP trovanju.
Zahteva precizno poznavanje konfiguracije ciljne mreže.
Pokretanje napada: ./Responder.py -I eth0 -Pdv
Ova metoda može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbeglo ometanje mreže.
Responder će impersonirati usluge koristeći gore pomenute protokole, hvatajući akreditive (obično NTLMv2 izazov/odgovor) kada korisnik pokuša da se autentifikuje protiv spoofovanih usluga.
Mogu se pokušati da se pređe na NetNTLMv1 ili onemogući ESS radi lakšeg razbijanja akreditiva.
Važno je napomenuti da se korišćenje ovih tehnika mora vršiti legalno i etički, osiguravajući odgovarajuću autorizaciju i izbegavajući ometanje ili neovlašćen pristup.
Inveigh je alat za penetracione testere i red timere, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, obavljajući spoofing i man-in-the-middle napade. Alat se razvio iz PowerShell skripte u C# binarni, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i uputstva mogu se naći u wiki.
Inveigh se može koristiti kroz PowerShell:
Ili izvršeno kao C# binarni fajl:
Ovaj napad koristi SMB autentifikacione sesije za pristup ciljnim mašinama, omogućavajući sistemsku ljusku ako je uspešan. Ključni preduslovi uključuju:
Autentifikovani korisnik mora imati lokalni administratorski pristup na preusmerenoj host mašini.
SMB potpisivanje treba biti onemogućeno.
U scenarijima gde direktno umrežavanje nije izvodljivo, saobraćaj na portu 445 treba preusmeriti i tunelovati. Alati poput PortBender pomažu u preusmeravanju saobraćaja sa porta 445 na drugi port, što je od suštinskog značaja kada je dostupan lokalni administratorski pristup za učitavanje drajvera.
PortBender podešavanje i rad u Cobalt Strike:
Metasploit: Podesite sa proxy-ima, lokalnim i udaljenim detaljima hosta.
smbrelayx: Python skripta za preusmeravanje SMB sesija i izvršavanje komandi ili postavljanje backdoor-a.
MultiRelay: Alat iz Responder paketa za preusmeravanje specifičnih korisnika ili svih korisnika, izvršavanje komandi ili dumpovanje hash-eva.
Each tool can be configured to operate through a SOCKS proxy if necessary, enabling attacks even with indirect network access.
MultiRelay se izvršava iz /usr/share/responder/tools direktorijuma, ciljajući specifične IP adrese ili korisnike.
Ovi alati i tehnike čine sveobuhvatan skup za sprovođenje NTLM Relay napada u raznim mrežnim okruženjima.
Na Windows-u možda ćete moći da prisilite neke privilegovane naloge da se autentifikuju na proizvoljnim mašinama. Pročitajte sledeću stranicu da biste saznali kako:
Force NTLM Privileged AuthenticationUčite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
