Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Μάθετε & εξασκηθείτε στο Hacking του AWS:
Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο Hacking του GCP: 
Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
Δικτυακά Πρωτόκολλα
Πρωτόκολλα Τοπικής Ανάλυσης Ονομάτων Χρηστών
LLMNR, NBT-NS και mDNS:
Η Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν τα LLMNR και NBT-NS για την τοπική ανάλυση ονομάτων όταν αποτυγχάνει το DNS. Αντίστοιχα, τα συστήματα της Apple και του Linux χρησιμοποιούν το mDNS.
Αυτά τα πρωτόκολλα είναι ευάλωτα στην παρεμβολή και πλαστογράφηση λόγω της μη ελεγχόμενης, εκπομπής φύσης τους μέσω UDP.
Το Responder μπορεί να χρησιμοποιηθεί για να παριστάνει υπηρεσίες αποστέλλοντας πλαστές απαντήσεις σε υπολογιστές που ερωτούν αυτά τα πρωτόκολλα.
Περισσότερες πληροφορίες σχετικά με την παραστάση υπηρεσιών χρησιμοποιώντας το Responder μπορούν να βρεθούν εδώ.
Πρωτόκολλο Αυτόματης Ανακάλυψης Ιστού (WPAD)
Το WPAD επιτρέπει στους περιηγητές να ανακαλύπτουν αυτόματα τις ρυθμίσεις του διακομιστή μεσολάβησης.
Η ανακάλυψη διευκολύνεται μέσω DHCP, DNS, ή ανατροφοδότηση στα LLMNR και NBT-NS αν αποτύχει το DNS.
Το Responder μπορεί να αυτοματοποιήσει επιθέσεις WPAD, καθοδηγώντας τους πελάτες σε κακόβουλους διακομιστές WPAD.
Ο Responder για τη Δηλητηρίαση Πρωτοκόλλων
Ο Responder είναι ένα εργαλείο που χρησιμοποιείται για τη δηλητηρίαση των ερωτημάτων LLMNR, NBT-NS και mDNS, απαντώντας εκλεκτικά βάσει τύπων ερωτημάτων, κατευθυνόμενο κυρίως σε υπηρεσίες SMB.
Έρχεται προεγκατεστημένο στο Kali Linux, ρυθμίσιμο στο
/etc/responder/Responder.conf.Ο Responder εμφανίζει τα καταγεγραμμένα hashes στην οθόνη και τα αποθηκεύει στον κατάλογο
/usr/share/responder/logs.Υποστηρίζει τόσο IPv4 όσο και IPv6.
Η έκδοση του Responder για Windows είναι διαθέσιμη εδώ.
Εκτέλεση του Responder
Για να εκτελέσετε το Responder με τις προεπιλεγμένες ρυθμίσεις:
responder -I <Διεπαφή>Για πιο επιθετική ανίχνευση (με πιθανές παρενέργειες):
responder -I <Διεπαφή> -P -r -vΤεχνικές για την καταγραφή προκλήσεων/απαντήσεων NTLMv1 για ευκολότερη αποκρυπτογράφηση:
responder -I <Διεπαφή> --lm --disable-essΗ παραστάση του WPAD μπορεί να ενεργοποιηθεί με:
responder -I <Διεπαφή> --wpadΟι αιτήσεις NetBIOS μπορούν να επιλυθούν στη διεύθυνση IP του επιτιθέμενου, και μπορεί να δημιουργηθεί ένας διακομιστής εξουσιοδότησης:
responder.py -I <διεπαφή> -Pv
Δηλητηρίαση DHCP με το Responder
Η πλαστογράφηση απαντήσεων DHCP μπορεί να δηλητηριάσει μόνιμα τις πληροφορίες δρομολόγησης ενός θύματος, προσφέροντας μια πιο αόρατη εναλλακτική λύση στη δηλητηρίαση ARP.
Απαιτεί ακριβή γνώση της δικτυακής διαμόρφωσης του στόχου.
Εκτέλεση της επίθεσης:
./Responder.py -I eth0 -PdvΑυτή η μέθοδος μπορεί να αιχμαλωτίσει αποτελεσματικά hashes NTLMv1/2, αλλά απαιτεί προσεκτική χειραγώγηση για να αποφευχθεί η διαταραχή του δικτύου.
Καταγραφή Διαπιστευτηρίων με το Responder
Ο Responder θα παριστάνει υπηρεσίες χρησιμοποιώντας τα παραπάνω αναφερόμενα πρωτόκολλα, καταγράφοντας διαπιστευτήρια (συνήθως πρόκληση/απάντηση NTLMv2) όταν ένας χρήστης προσπαθεί να πιστοποιηθεί εναντίον των πλαστογραφημένων υπηρεσιών.
Μπορούν να γίνουν προσπάθειες για υποβάθμιση σε NetNTLMv1 ή απενεργοποίηση του ESS για ευκολότερη αποκρυπτογράφηση διαπιστευτηρίων.
Είναι ζωτικής σημασίας να σημειώσουμε ότι η χρήση αυτών των τεχνικών πρέπει να γίνεται νόμιμα και ηθικά, εξασφαλίζοντας την κατάλληλη εξουσιοδότηση και αποφεύγοντας τη διαταραχή ή την μη εξουσιοδοτημένη πρόσβαση.
Inveigh
Το Inveigh είναι ένα εργαλείο για δοκιμαστές διείσδυσης και ομάδες Red Team, σχεδιασμένο για συστήματα Windows. Προσφέρει λειτουργίες παρόμοιες με το Responder, εκτελώντας πλαστογράφηση και επιθέσεις man-in-the-middle. Το εργαλείο έχει εξελιχθεί από ένα σενάριο PowerShell σε ένα δυαδικό αρχείο C#, με τα Inveigh και InveighZero ως τις κύριες εκδόσεις. Λεπτομερείς παράμετροι και οδηγίες μπορούν να βρεθούν στο wiki.
Το Inveigh μπορεί να λειτουργήσει μέσω PowerShell:
Ή εκτελείται ως δυαδικό αρχείο C#:
Επίθεση NTLM Relay
Αυτή η επίθεση εκμεταλλεύεται τις συνεδρίες ελέγχου ταυτότητας SMB για πρόσβαση σε έναν στόχο υπολογιστή, παρέχοντας ένα κέλυφος συστήματος σε περίπτωση επιτυχίας. Βασικές προϋποθέσεις περιλαμβάνουν:
Ο χρήστης που πιστοποιείται πρέπει να έχει πρόσβαση Διαχειριστή τοπικά στον υπολογιστή προώθησης.
Η υπογραφή SMB πρέπει να είναι απενεργοποιημένη.
Προώθηση και Σήραγγα Θύρας 445
Σε περιπτώσεις όπου δεν είναι εφικτή η άμεση εισαγωγή στο δίκτυο, η κίνηση στη θύρα 445 πρέπει να προωθηθεί και να τουνελιστεί. Εργαλεία όπως το PortBender βοηθούν στην ανακατεύθυνση της κίνησης στη θύρα 445 σε μια άλλη θύρα, το οποίο είναι απαραίτητο όταν η πρόσβαση Διαχειριστή είναι διαθέσιμη για τη φόρτωση οδηγών.
Ρύθμιση και λειτουργία του PortBender στο Cobalt Strike:
Άλλα Εργαλεία για Επίθεση Ανακατεύθυνσης NTLM
Metasploit: Ρύθμιση με διακομιστές μεσολάβησης, τοπικές και απομακρυσμένες λεπτομέρειες του κεντρικού υπολογιστή.
smbrelayx: Ένα σενάριο Python για την ανακατεύθυνση συνεδριών SMB και την εκτέλεση εντολών ή την ανάπτυξη παγίδων.
MultiRelay: Ένα εργαλείο από τη σουίτα Responder για την ανακατεύθυνση συγκεκριμένων χρηστών ή όλων των χρηστών, την εκτέλεση εντολών ή την απόρριψη κατακερματισμών.
Κάθε εργαλείο μπορεί να ρυθμιστεί για λειτουργία μέσω ενός διακομιστή μεσολάβησης SOCKS εάν είναι απαραίτητο, επιτρέποντας επιθέσεις ακόμη και με έμμεση πρόσβαση στο δίκτυο.
Λειτουργία MultiRelay
Το MultiRelay εκτελείται από τον φάκελο /usr/share/responder/tools, εστιάζοντας σε συγκεκριμένες διευθύνσεις IP ή χρήστες.
Εξαναγκασμός Συνδέσεων NTLM
Στα Windows μπορείτε να εξαναγκάσετε ορισμένους προνομιούχους λογαριασμούς να πιστοποιηθούν σε αυθαίρετες μηχανές. Διαβάστε την παρακάτω σελίδα για να μάθετε πώς:
Force NTLM Privileged AuthenticationΑναφορές
Μάθετε & εξασκηθείτε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
Last updated