Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
AWS Hacking'i öğrenin ve uygulayın: HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
LLMNR, NBT-NS ve mDNS:
Microsoft ve diğer işletim sistemleri DNS başarısız olduğunda yerel ad çözümlemesi için LLMNR ve NBT-NS kullanır. Benzer şekilde, Apple ve Linux sistemleri mDNS kullanır.
Bu protokoller, kimlik doğrulamasız, UDP üzerinden yayın yapmaları nedeniyle dinleme ve sahtecilikten etkilenir.
Bu protokollerin sorgulayan ana bilgisayarlara sahte yanıtlar göndererek hizmetleri taklit etmek için Responder kullanılabilir.
Responder kullanarak hizmet taklit etme hakkında daha fazla bilgiye buradan ulaşılabilir.
WPAD tarayıcıların proxy ayarlarını otomatik olarak keşfetmelerine olanak tanır.
Keşif, DHCP, DNS veya DNS başarısız olursa LLMNR ve NBT-NS'ye geri dönerek kolaylaştırılır.
Responder, istemcileri kötü niyetli WPAD sunucularına yönlendiren WPAD saldırılarını otomatikleştirebilir.
Responder, LLMNR, NBT-NS ve mDNS sorgularını zehirlemek için kullanılan bir araçtır, sorgu türlerine göre seçici olarak yanıt verir ve genellikle SMB hizmetlerini hedef alır.
Kali Linux'ta önceden yüklenmiş olarak gelir ve /etc/responder/Responder.conf konumunda yapılandırılabilir.
Responder, yakalanan hash'leri ekranda gösterir ve bunları /usr/share/responder/logs dizininde kaydeder.
IPv4 ve IPv6'yı destekler.
Responder'ın Windows sürümü burada bulunabilir.
Varsayılan ayarlarla Responder'ı çalıştırmak için: responder -I <Arayüz>
Daha agresif sorgulama için (potansiyel yan etkilerle): responder -I <Arayüz> -P -r -v
NTLMv1 meydan okumalarını/yanıtlarını daha kolay kırabilmek için teknikler: responder -I <Arayüz> --lm --disable-ess
WPAD taklit edilmesi şu şekilde etkinleştirilebilir: responder -I <Arayüz> --wpad
NetBIOS istekleri saldırganın IP'sine çözümlenebilir ve kimlik doğrulama vekili kurulabilir: responder.py -I <arayüz> -Pv
DHCP yanıtlarını sahteleştirerek bir kurbanın yönlendirme bilgilerini kalıcı olarak zehirleyebilir, ARP zehirleme için daha gizli bir alternatif sunar.
Hedef ağın yapılandırması hakkında kesin bilgi gerektirir.
Saldırıyı çalıştırmak: ./Responder.py -I eth0 -Pdv
Bu yöntem etkili bir şekilde NTLMv1/2 hash'lerini yakalayabilir, ancak ağ kesintisinden kaçınmak için dikkatli bir şekilde ele alınmalıdır.
Responder yukarıda bahsedilen protokoller kullanılarak hizmetleri taklit eder, kullanıcılar sahtecilik yapılan hizmetlere kimlik doğrulamaya çalıştığında kimlik bilgilerini (genellikle NTLMv2 Meydan Okuma/Yanıtı) yakalar.
Kimlik bilgilerini daha kolay kırmak için NetNTLMv1'e düşürme veya ESS'yi devre dışı bırakma girişimleri yapılabilir.
Bu tekniklerin yasal ve etik bir şekilde kullanılması, uygun yetkilendirme sağlanması ve ağda kesinti veya izinsiz erişimden kaçınılması önemlidir.
Inveigh, Windows sistemler için tasarlanmış bir araçtır ve penetrasyon testçileri ve kırmızı takım üyeleri için benzer işlevlere sahiptir. Sahtecilik ve adam ortasında saldırılar gerçekleştiren Responder'a benzer işlevsellikler sunar. Araç, bir PowerShell betiğinden C# ikiliye evrim geçirmiş olup Inveigh ve InveighZero ana sürümleri olarak geliştirilmiştir. Detaylı parametreler ve talimatlar wiki sayfasında bulunabilir.
Inveigh, PowerShell üzerinden çalıştırılabilir:
Ya da bir C# ikili dosyası olarak yürütülür:
Bu saldırı, bir hedef makineye erişmek için SMB kimlik doğrulama oturumlarını kullanır ve başarılı olursa bir sistem kabuğu sağlar. Ana gereksinimler şunlardır:
Kimlik doğrulayan kullanıcının, iletilen ana bilgisayarda Yerel Yönetici erişimine sahip olması gerekir.
SMB imzalamasının devre dışı bırakılması gerekmektedir.
Doğrudan ağ tanıtımının mümkün olmadığı senaryolarda, 445 numaralı port üzerindeki trafiğin yönlendirilmesi ve tünellenmesi gerekmektedir. PortBender gibi araçlar, 445 numaralı port trafiğini başka bir porta yönlendirmede yardımcı olur; bu, yerel yönetici erişimi sürücü yükleme için kullanılabilir olduğunda önemlidir.
Cobalt Strike'da PortBender kurulumu ve işleyişi:
Metasploit: Proxy'ler, yerel ve uzak ana bilgisayar ayrıntıları ile kurulur.
smbrelayx: SMB oturumlarını aktarmak ve komutları yürütmek veya arka kapılar dağıtmak için Python betiği.
MultiRelay: Belirli kullanıcıları veya tüm kullanıcıları aktarmak, komutları yürütmek veya hash'leri dökmek için Responder paketinden bir araç.
Her bir araç, gerektiğinde SOCKS proxy üzerinden çalışacak şekilde yapılandırılabilir, dolaylı ağ erişimi ile bile saldırıları mümkün kılar.
MultiRelay, belirli IP'ler veya kullanıcıları hedefleyerek /usr/share/responder/tools dizininden yürütülür.
Windows'ta bazı ayrıcalıklı hesapları zorlayarak bu hesapların keyfi makinelerde kimlik doğrulamasını yapmasını sağlayabilirsiniz. Nasıl yapılacağını öğrenmek için aşağıdaki sayfayı okuyun:
Force NTLM Privileged AuthenticationAWS Hacking'ı Öğrenin ve Uygulayın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'ı Öğrenin ve Uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
