Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Netwerkprotokolle
Plaaslike Gasresolusieprotokolle
LLMNR, NBT-NS en mDNS:
Microsoft en ander bedryfstelsels gebruik LLMNR en NBT-NS vir plaaslike naamresolusie wanneer DNS misluk. Soortgelyk gebruik Apple- en Linux-stelsels mDNS.
Hierdie protokolle is vatbaar vir onderskepping en vervalsing as gevolg van hul ongeagte, uitsaai-aard oor UDP.
Responder kan gebruik word om dienste na te boots deur vervalsde antwoorde na gasheerstelsels te stuur wat hierdie protokolle ondervra.
Verdere inligting oor diensnabootsing met behulp van Responder is beskikbaar hier.
Web Proxy Auto-Discovery Protocol (WPAD)
WPAD maak dit vir webblaaier moontlik om outomaties proksi-instellings te ontdek.
Ontdekking word fasiliteer deur middel van DHCP, DNS, of terugval na LLMNR en NBT-NS as DNS misluk.
Responder kan WPAD-aanvalle outomatiseer deur kliënte na skadelike WPAD-bedieners te rig.
Responder vir Protokolvergiftiging
Responder is 'n hulpmiddel wat gebruik word vir die vergiftiging van LLMNR-, NBT-NS- en mDNS-navrae, selektief antwoord gee op navraagtipes en hoofsaaklik op SMB-dienste teiken.
Dit is vooraf geïnstalleer in Kali Linux en kan gekonfigureer word by
/etc/responder/Responder.conf.Responder vertoon gevangenome wagwoorde op die skerm en stoor dit in die
/usr/share/responder/logs-gids.Dit ondersteun beide IPv4 en IPv6.
'n Windows-weergawe van Responder is beskikbaar hier.
Uitvoering van Responder
Om Responder met verstekinstellings uit te voer:
responder -I <Interface>Vir meer aggressiewe ondersoek (met potensiële newe-effekte):
responder -I <Interface> -P -r -vTegnieke om NTLMv1-uitdagings/antwoorde vir makliker kraak vas te vang:
responder -I <Interface> --lm --disable-essWPAD-nabootsing kan geaktiveer word met:
responder -I <Interface> --wpadNetBIOS-navrae kan na die aanvaller se IP opgelos word, en 'n outentiseringsproksi kan opgestel word:
responder.py -I <interface> -Pv
DHCP-vergiftiging met Responder
Die vervalsing van DHCP-antwoorde kan 'n slagoffer se roeteringinligting permanent vergiftig en bied 'n stilistiese alternatief vir ARP-vergiftiging.
Dit vereis presiese kennis van die konfigurasie van die teikennetwerk.
Uitvoering van die aanval:
./Responder.py -I eth0 -PdvHierdie metode kan effektief NTLMv1/2-wagwoorde vasvang, maar dit vereis sorgvuldige hantering om netwerkversteuring te voorkom.
Vasvang van Gelde met Responder
Responder sal dienste naboots deur die bogenoemde protokolle te gebruik en gelde (gewoonlik NTLMv2-uitdaging/antwoord) vasvang wanneer 'n gebruiker probeer outentiseer teenoor die vervalsde dienste.
Pogings kan aangewend word om af te gradeer na NetNTLMv1 of ESS uit te skakel vir makliker kraak van gelde.
Dit is van kritieke belang om daarop te let dat die gebruik van hierdie tegnieke wettig en eties moet geskied, met behoorlike magtiging en sonder versteuring of ongemagtigde toegang.
Inveigh
Inveigh is 'n hulpmiddel vir penetrasietoetsers en rooi-spanne, ontwerp vir Windows-stelsels. Dit bied funksionaliteite soortgelyk aan Responder, wat vervalsing en man-in-die-middel-aanvalle uitvoer. Die hulpmiddel het ontwikkel vanaf 'n PowerShell-skripsie na 'n C#-binêre, met Inveigh en InveighZero as die hoofweergawes. Gedetailleerde parameters en instruksies kan gevind word in die wiki.
Inveigh kan bedryf word deur middel van PowerShell:
Of uitgevoer as 'n C# binêre lêer:
NTLM Relay-aanval
Hierdie aanval maak gebruik van SMB-verifikasiesessies om toegang tot 'n teikermasjien te verkry en verleen 'n stelselskulp as dit suksesvol is. Sleutelvereistes sluit in:
Die verifiserende gebruiker moet plaaslike administratiewe toegang tot die herleide gasheer hê.
SMB-ondertekening moet gedeaktiveer wees.
445 Poort deurstuur en tonneling
In situasies waar direkte netwerkintroduksie nie haalbaar is nie, moet verkeer op poort 445 deurgestuur en getunnel word. Hulpmiddels soos PortBender help om poort 445-verkeer na 'n ander poort om te lei, wat noodsaaklik is wanneer plaaslike administratiewe toegang vir bestuurderlaaiing beskikbaar is.
PortBender-opstelling en bedryf in Cobalt Strike:
Ander Hulpmiddels vir NTLM Relay-aanval
Metasploit: Stel op met proksi's, plaaslike en afgeleë gasheerbesonderhede.
smbrelayx: 'n Python-skrips vir die oordra van SMB-sessies en die uitvoering van opdragte of die implementering van agterdeure.
MultiRelay: 'n Hulpmiddel uit die Responder-pakket om spesifieke gebruikers of alle gebruikers te oordra, opdragte uit te voer of hase te dump.
Elke hulpmiddel kan gekonfigureer word om deur 'n SOCKS-proksi te werk as dit nodig is, wat aanvalle selfs met indirekte netwerktoegang moontlik maak.
MultiRelay-bedryf
MultiRelay word uitgevoer vanuit die /usr/share/responder/tools gids en teiken spesifieke IP-adresse of gebruikers.
Hierdie gereedskap en tegnieke vorm 'n omvattende stel vir die uitvoering van NTLM Relay-aanvalle in verskillende netwerkomgewings.
Dwang NTLM-aantekeninge af
In Windows kan jy dalk sommige bevoorregte rekeninge dwing om te verifieer teen willekeurige masjiene. Lees die volgende bladsy om te leer hoe:
Verwysings
Last updated