Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Вивчайте та практикуйте хакінг AWS:Навчання AWS Red Team Expert (ARTE) від HackTricks Вивчайте та практикуйте хакінг GCP: Навчання GCP Red Team Expert (GRTE) від HackTricks
LLMNR, NBT-NS та mDNS:
Microsoft та інші операційні системи використовують LLMNR та NBT-NS для локального вирішення імен при невдачі DNS. Так само, Apple та Linux системи використовують mDNS.
Ці протоколи піддаються перехопленню та підробленню через їх невпізнану, розповсюджену природу через UDP.
Responder може бути використаний для підроблення служб шляхом відправлення підроблених відповідей на хости, які запитують ці протоколи.
Додаткову інформацію про підроблення служб за допомогою Responder можна знайти тут.
WPAD дозволяє браузерам автоматично відкривати налаштування проксі.
Відкриття здійснюється через DHCP, DNS або в разі невдачі - через LLMNR та NBT-NS.
Responder може автоматизувати атаки WPAD, направляючи клієнтів на зловмисні сервери WPAD.
Responder - це інструмент, який використовується для отруєння запитів LLMNR, NBT-NS та mDNS, відповідаючи вибірково на типи запитів, переважно спрямованих на служби SMB.
Він поставляється заздалегідь в Kali Linux, налаштовується в /etc/responder/Responder.conf
.
Responder відображає захоплені хеші на екрані та зберігає їх у каталозі /usr/share/responder/logs
.
Підтримує як IPv4, так і IPv6.
Версія Responder для Windows доступна тут.
Для запуску Responder зі стандартними налаштуваннями: responder -I <Інтерфейс>
Для більш агресивного сканування (з можливими побічними ефектами): responder -I <Інтерфейс> -P -r -v
Техніки захоплення викликів/відповідей NTLMv1 для полегшення розкриття: responder -I <Інтерфейс> --lm --disable-ess
Підроблення WPAD може бути активоване за допомогою: responder -I <Інтерфейс> --wpad
Запити NetBIOS можуть бути розрішені на IP атакуючого, і може бути налаштований аутентифікаційний проксі: responder.py -I <інтерфейс> -Pv
Підроблення відповідей DHCP може постійно отруїти інформацію маршрутизації жертви, пропонуючи більш прихований альтернативний варіант отруєння ARP.
Це вимагає точного знання конфігурації мережі цільової мережі.
Запуск атаки: ./Responder.py -I eth0 -Pdv
Цей метод може ефективно захоплювати хеші NTLMv1/2, але вимагає обережного обходу для уникнення розриву мережі.
Responder буде підробляти служби за допомогою вищезгаданих протоколів, захоплюючи облікові дані (зазвичай виклик/відповідь NTLMv2), коли користувач намагається аутентифікуватися проти підроблених служб.
Можливі спроби зниження до NetNTLMv1 або вимкнення ESS для полегшення розкриття облікових даних.
Важливо зауважити, що використання цих технік повинно бути здійснене законно та етично, забезпечуючи належну авторизацію та уникнення розриву або несанкціонованого доступу.
Inveigh - це інструмент для пентестерів та команд червоних команд, призначений для систем Windows. Він пропонує функціональність, схожу на Responder, виконуючи підроблення та атаки людини посередника. Інструмент еволюціонував з PowerShell скрипту до бінарного файлу C#, з Inveigh та InveighZero як основні версії. Детальні параметри та інструкції можна знайти в вікі.
Inveigh може бути запущений через PowerShell:
Або виконано як C# бінарний файл:
Ця атака використовує сеанси аутентифікації SMB для доступу до цільової машини, що надає системну оболонку у разі успіху. Основні передумови включають:
Користувач, який аутентифікується, повинен мати локальний адміністративний доступ на пересиланому хості.
Підпис SMB повинен бути вимкнений.
У випадках, коли пряме введення в мережу неможливе, потрібно перенаправити та тунелювати трафік на порту 445. Інструменти, такі як PortBender, допомагають перенаправити трафік порту 445 на інший порт, що є важливим, коли доступний локальний адміністративний доступ для завантаження драйверів.
Налаштування та робота PortBender в Cobalt Strike:
Metasploit: Налаштування з проксі, локальними та віддаленими даними хосту.
smbrelayx: Скрипт на Python для передачі сеансів SMB та виконання команд або розгортання задніх дверей.
MultiRelay: Інструмент з набору Responder для передачі конкретних користувачів або всіх користувачів, виконання команд або виведення хешів.
Кожен інструмент може бути налаштований на роботу через проксі-сервер SOCKS у разі необхідності, що дозволяє здійснювати атаки навіть з опосередкованим мережевим доступом.
MultiRelay запускається з каталогу /usr/share/responder/tools, спрямовуючи конкретні IP-адреси або користувачів.
У Windows ви можете змусити деякі привілейовані облікові записи аутентифікуватися на довільних машинах. Прочитайте наступну сторінку, щоб дізнатися як:
Force NTLM Privileged AuthenticationВивчайте та практикуйте хакінг AWS:Навчання HackTricks AWS Red Team Expert (ARTE) Вивчайте та практикуйте хакінг GCP: Навчання HackTricks GCP Red Team Expert (GRTE)