Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS ve mDNS:
Microsoft ve diğer işletim sistemleri, DNS başarısız olduğunda yerel ad çözümlemesi için LLMNR ve NBT-NS kullanır. Benzer şekilde, Apple ve Linux sistemleri mDNS kullanır.
Bu protokoller, UDP üzerinden kimlik doğrulaması yapılmamış, yayın doğası nedeniyle dinleme ve sahtecilik saldırılarına açıktır.
Responder, bu protokolleri sorgulayan ana bilgisayarlara sahte yanıtlar göndererek hizmetleri taklit etmek için kullanılabilir.
Responder kullanarak hizmet taklitine dair daha fazla bilgi burada bulunabilir.
WPAD, tarayıcıların proxy ayarlarını otomatik olarak keşfetmesine olanak tanır.
Keşif, DHCP, DNS veya DNS başarısız olursa LLMNR ve NBT-NS'ye geri dönerek gerçekleştirilir.
Responder, WPAD saldırılarını otomatikleştirerek istemcileri kötü niyetli WPAD sunucularına yönlendirebilir.
Responder, LLMNR, NBT-NS ve mDNS sorgularını zehirlemek için kullanılan bir araçtır, sorgu türlerine göre seçici yanıt vererek, esas olarak SMB hizmetlerini hedef alır.
Kali Linux'ta önceden yüklenmiştir, /etc/responder/Responder.conf
dosyasında yapılandırılabilir.
Responder, yakalanan hash'leri ekranda gösterir ve /usr/share/responder/logs
dizinine kaydeder.
Hem IPv4 hem de IPv6'yı destekler.
Responder'ın Windows sürümü burada mevcuttur.
Varsayılan ayarlarla Responder'ı çalıştırmak için: responder -I <Interface>
Daha agresif sorgulama için (potansiyel yan etkilerle birlikte): responder -I <Interface> -P -r -v
NTLMv1 zorlukları/yanıtlarını daha kolay kırmak için yakalamak için teknikler: responder -I <Interface> --lm --disable-ess
WPAD taklitini etkinleştirmek için: responder -I <Interface> --wpad
NetBIOS istekleri saldırganın IP'sine çözülebilir ve bir kimlik doğrulama proxy'si kurulabilir: responder.py -I <interface> -Pv
DHCP yanıtlarını sahtelemek, bir kurbanın yönlendirme bilgilerini kalıcı olarak zehirleyebilir ve ARP zehirlemesine göre daha gizli bir alternatif sunar.
Hedef ağın yapılandırması hakkında kesin bilgi gerektirir.
Saldırıyı çalıştırma: ./Responder.py -I eth0 -Pdv
Bu yöntem, NTLMv1/2 hash'lerini etkili bir şekilde yakalayabilir, ancak ağ kesintisini önlemek için dikkatli bir şekilde ele alınmalıdır.
Responder, yukarıda belirtilen protokolleri kullanarak hizmetleri taklit edecek ve bir kullanıcı sahte hizmetlere karşı kimlik doğrulama yapmaya çalıştığında kimlik bilgilerini (genellikle NTLMv2 Zorluk/Yanıt) yakalayacaktır.
Daha kolay kimlik bilgisi kırma için NetNTLMv1'e düşürme veya ESS'yi devre dışı bırakma girişimleri yapılabilir.
Bu tekniklerin yasal ve etik bir şekilde uygulanması, uygun yetkilendirme sağlanması ve kesinti veya yetkisiz erişimden kaçınılması önemlidir.
Inveigh, Windows sistemleri için tasarlanmış bir penetrasyon test cihazı ve kırmızı takım aracı. Responder ile benzer işlevler sunarak sahtecilik ve adam ortada saldırıları gerçekleştirir. Araç, bir PowerShell betiğinden C# ikili dosyasına evrim geçirmiştir ve Inveigh ve InveighZero ana sürümleridir. Ayrıntılı parametreler ve talimatlar wiki sayfasında bulunabilir.
Inveigh, PowerShell üzerinden çalıştırılabilir:
Veya bir C# ikili dosyası olarak çalıştırıldı:
Bu saldırı, hedef makineye erişim sağlamak için SMB kimlik doğrulama oturumlarını kullanır ve başarılı olursa bir sistem kabuğu verir. Ana gereksinimler şunlardır:
Kimlik doğrulayan kullanıcının, yönlendirilmiş ana makinede Yerel Yönetici erişimine sahip olması gerekir.
SMB imzalama devre dışı bırakılmalıdır.
Doğrudan ağ tanıtımının mümkün olmadığı senaryolarda, 445 numaralı porttaki trafik yönlendirilip tünellenmelidir. PortBender gibi araçlar, yerel yönetici erişimi mevcut olduğunda sürücü yükleme için gerekli olan 445 numaralı port trafiğini başka bir porta yönlendirmeye yardımcı olur.
PortBender kurulumu ve Cobalt Strike'daki çalışması:
Metasploit: Proxylere, yerel ve uzak ana bilgisayar detaylarına göre ayarlanır.
smbrelayx: SMB oturumlarını iletmek ve komutları çalıştırmak veya arka kapılar dağıtmak için bir Python betiği.
MultiRelay: Belirli kullanıcıları veya tüm kullanıcıları iletmek, komutları çalıştırmak veya hash'leri dökmek için Responder paketinden bir araç.
Her araç, gerekirse bir SOCKS proxy üzerinden çalışacak şekilde yapılandırılabilir, dolaylı ağ erişimi ile bile saldırılara olanak tanır.
MultiRelay, belirli IP'leri veya kullanıcıları hedef alarak /usr/share/responder/tools dizininden çalıştırılır.
Bu araçlar ve teknikler, çeşitli ağ ortamlarında NTLM Relay saldırıları gerçekleştirmek için kapsamlı bir set oluşturur.
Windows'ta bazı ayrıcalıklı hesapların rastgele makinelere kimlik doğrulaması yapmasını zorlayabilirsiniz. Nasıl yapılacağını öğrenmek için aşağıdaki sayfayı okuyun:
Force NTLM Privileged AuthenticationAWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)