Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
LLMNR, NBT-NS та mDNS:
Microsoft та інші операційні системи використовують LLMNR та NBT-NS для локального розв'язання імен, коли DNS не працює. Аналогічно, системи Apple та Linux використовують mDNS.
Ці протоколи підлягають перехопленню та спуфінгу через їхню неавтентифіковану, широкомовну природу через UDP.
Responder може бути використаний для наслідування сервісів, надсилаючи підроблені відповіді до хостів, які запитують ці протоколи.
Додаткову інформацію про наслідування сервісів за допомогою Responder можна знайти тут.
WPAD дозволяє браузерам автоматично виявляти налаштування проксі.
Виявлення здійснюється через DHCP, DNS або повернення до LLMNR та NBT-NS, якщо DNS не працює.
Responder може автоматизувати атаки WPAD, направляючи клієнтів до шкідливих WPAD-серверів.
Responder - це інструмент, що використовується для отруєння запитів LLMNR, NBT-NS та mDNS, вибірково відповідаючи на основі типів запитів, переважно націлюючись на SMB-сервіси.
Він попередньо встановлений у Kali Linux, налаштовується в /etc/responder/Responder.conf.
Responder відображає захоплені хеші на екрані та зберігає їх у каталозі /usr/share/responder/logs.
Він підтримує як IPv4, так і IPv6.
Версія Responder для Windows доступна тут.
Щоб запустити Responder з налаштуваннями за замовчуванням: responder -I <Interface>
Для більш агресивного прослуховування (з потенційними побічними ефектами): responder -I <Interface> -P -r -v
Техніки для захоплення NTLMv1 викликів/відповідей для легшого злому: responder -I <Interface> --lm --disable-ess
Наслідування WPAD можна активувати за допомогою: responder -I <Interface> --wpad
Запити NetBIOS можуть бути вирішені на IP-адресу атакуючого, і можна налаштувати проксі для аутентифікації: responder.py -I <interface> -Pv
Спуфінг DHCP-відповідей може постійно отруїти маршрутизаційну інформацію жертви, пропонуючи більш прихований варіант, ніж отруєння ARP.
Це вимагає точного знання конфігурації цільової мережі.
Запуск атаки: ./Responder.py -I eth0 -Pdv
Цей метод може ефективно захоплювати NTLMv1/2 хеші, але вимагає обережного поводження, щоб уникнути порушення мережі.
Responder буде наслідувати сервіси, використовуючи вищезгадані протоколи, захоплюючи облікові дані (зазвичай NTLMv2 Challenge/Response), коли користувач намагається аутентифікуватися проти спуфлених сервісів.
Можна спробувати знизити до NetNTLMv1 або вимкнути ESS для легшого злому облікових даних.
Важливо зазначити, що використання цих технік повинно здійснюватися законно та етично, забезпечуючи належну авторизацію та уникаючи порушення або несанкціонованого доступу.
Inveigh - це інструмент для тестувальників на проникнення та червоних команд, розроблений для систем Windows. Він пропонує функціональність, подібну до Responder, виконуючи спуфінг та атаки "людина посередині". Інструмент еволюціонував з PowerShell-скрипта до бінарного файлу C#, з Inveigh та InveighZero як основними версіями. Детальні параметри та інструкції можна знайти в вікі.
Inveigh можна запускати через PowerShell:
Або виконано як бінарний файл C#:
Ця атака використовує сесії аутентифікації SMB для доступу до цільової машини, надаючи системну оболонку у разі успіху. Основні передумови включають:
Аутентифікований користувач повинен мати доступ до локального адміністратора на пересланому хості.
Підписування SMB повинно бути вимкнено.
У сценаріях, де пряма мережна інтеграція неможлива, трафік на порту 445 потрібно переслати та тунелювати. Інструменти, такі як PortBender, допомагають перенаправити трафік порту 445 на інший порт, що є необхідним, коли доступ адміністратора локально доступний для завантаження драйверів.
PortBender налаштування та робота в Cobalt Strike:
Metasploit: Налаштування з проксі, деталями локального та віддаленого хостів.
smbrelayx: Скрипт на Python для релеювання SMB-сесій та виконання команд або розгортання бекдорів.
MultiRelay: Інструмент з набору Responder для релеювання конкретних користувачів або всіх користувачів, виконання команд або вивантаження хешів.
Кожен інструмент можна налаштувати для роботи через SOCKS-проксі, якщо це необхідно, що дозволяє проводити атаки навіть з непрямим доступом до мережі.
MultiRelay виконується з директорії /usr/share/responder/tools, націлюючись на конкретні IP-адреси або користувачів.
Ці інструменти та техніки формують всебічний набір для проведення атак NTLM Relay в різних мережевих середовищах.
У Windows ви можете примусити деякі привілейовані облікові записи автентифікуватися на довільних машинах. Прочитайте наступну сторінку, щоб дізнатися як:
Force NTLM Privileged AuthenticationLearn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
