Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Ağ Protokolleri
Yerel Ana Bilgisayar Çözümleme Protokolleri
LLMNR, NBT-NS ve mDNS:
Microsoft ve diğer işletim sistemleri, DNS başarısız olduğunda yerel ad çözümlemesi için LLMNR ve NBT-NS kullanır. Benzer şekilde, Apple ve Linux sistemleri mDNS kullanır.
Bu protokoller, kimlik doğrulama yapılmayan, UDP üzerinden yayın yapan doğası nedeniyle dinleme ve sahteciliğe karşı savunmasızdır.
Responder, bu protokolleri sorgulayan ana bilgisayarlara sahte yanıtlar göndererek hizmetleri taklit etmek için kullanılabilir.
Responder kullanarak hizmet taklit etme hakkında daha fazla bilgiye buradan ulaşabilirsiniz.
Web Proxy Auto-Discovery Protocol (WPAD)
WPAD, tarayıcıların proxy ayarlarını otomatik olarak keşfetmelerine olanak tanır.
Keşif, DHCP, DNS veya DNS başarısız olursa LLMNR ve NBT-NS'ye geri düşme yoluyla kolaylaştırılır.
Responder, WPAD saldırılarını otomatikleştirebilir ve istemcileri kötü niyetli WPAD sunucularına yönlendirebilir.
Protokol Zehirleme için Responder
Responder, LLMNR, NBT-NS ve mDNS sorgularını zehirlemek için kullanılan bir araçtır ve sorgu türlerine göre seçici yanıtlar vererek öncelikle SMB hizmetlerini hedef alır.
Kali Linux'ta önceden yüklenmiş olarak gelir ve
/etc/responder/Responder.conf
dosyasından yapılandırılabilir.Responder, yakalanan karmaşaları ekranda görüntüler ve
/usr/share/responder/logs
dizininde kaydeder.IPv4 ve IPv6'yı destekler.
Responder'ın Windows sürümü burada bulunabilir.
Responder'ı Çalıştırma
Varsayılan ayarlarla Responder'ı çalıştırmak için:
responder -I <Arayüz>
Daha agresif keşif için (potansiyel yan etkilerle):
responder -I <Arayüz> -P -r -v
NTLMv1 meydan okumalarını/yanıtlarını daha kolay kırabilmek için teknikler:
responder -I <Arayüz> --lm --disable-ess
WPAD taklitini etkinleştirmek için:
responder -I <Arayüz> --wpad
NetBIOS istekleri saldırganın IP'sine çözümlenebilir ve kimlik doğrulama proxy'si kurulabilir:
responder.py -I <arayüz> -Pv
Responder ile DHCP Zehirleme
DHCP yanıtlarını sahtecilik yaparak bir kurbanın yönlendirme bilgilerini kalıcı olarak zehirleyebilir ve ARP zehirlemeye göre daha gizli bir alternatif sunar.
Hedef ağın yapılandırması hakkında kesin bilgi gerektirir.
Saldırıyı çalıştırma:
./Responder.py -I eth0 -Pdv
Bu yöntem, etkili bir şekilde NTLMv1/2 karmaşalarını yakalayabilir, ancak ağ kesintisini önlemek için dikkatli bir şekilde kullanılmalıdır.
Responder ile Kimlik Bilgilerini Yakalama
Responder, yukarıda bahsedilen protokolleri kullanarak hizmetleri taklit eder ve bir kullanıcı sahte hizmetlere kimlik doğrulama yapmaya çalıştığında kimlik bilgilerini (genellikle NTLMv2 Meydan Okuma/Yanıtı) yakalar.
Kimlik bilgileri kırılması daha kolay olması için NetNTLMv1'e düşürme veya ESS'yi devre dışı bırakma girişimleri yapılabilir.
Bu tekniklerin yasal ve etik olarak kullanılması, uygun yetkilendirme sağlanması ve ağa zarar verme veya izinsiz erişimden kaçınılması önemlidir.
Inveigh
Inveigh, Windows sistemler için tasarlanmış bir penetrasyon testi ve kırmızı takım aracıdır. Responder'a benzer işlevler sunar ve sahtecilik ve orta adam saldırıları gerçekleştirir. Araç, bir PowerShell komut dosyasından C# ikili bir dosyaya evrim geçirmiştir ve Inveigh ve InveighZero ana sürümleri bulunmaktadır. Ayrıntılı parametreler ve talimatlar wiki'de bulunabilir.
Inveigh, PowerShell aracılığıyla çalıştırılabilir:
Veya bir C# ikili olarak yürütülür:
NTLM Relay Saldırısı
Bu saldırı, bir hedef makineye erişmek için SMB kimlik doğrulama oturumlarını kullanır ve başarılı olması durumunda bir sistem kabuğu sağlar. Ana gereksinimler şunları içerir:
Kimlik doğrulayan kullanıcının, iletilen ana bilgisayarda Yerel Yönetici erişimine sahip olması gerekmektedir.
SMB imzalama devre dışı bırakılmalıdır.
445 Port Yönlendirme ve Tünelleme
Doğrudan ağ tanıtımının mümkün olmadığı senaryolarda, 445 numaralı port üzerindeki trafiğin yönlendirilmesi ve tünellemesi gerekmektedir. PortBender gibi araçlar, 445 numaralı port trafiğini başka bir porta yönlendirmede yardımcı olur ve yerel yönetici erişimi sürücü yükleme için mevcut olduğunda önemlidir.
Cobalt Strike'da PortBender kurulumu ve işletimi:
NTLM Relay Saldırısı için Diğer Araçlar
Metasploit: Proxy'ler, yerel ve uzak ana bilgisayar ayrıntılarıyla yapılandırılır.
smbrelayx: SMB oturumlarını iletmek ve komutları yürütmek veya arka kapılar dağıtmak için Python betiği.
MultiRelay: Belirli kullanıcıları veya tüm kullanıcıları iletmek, komutları yürütmek veya hash'leri dökmek için Responder paketinin bir aracı.
Her bir araç, gerektiğinde SOCKS proxy üzerinden çalışacak şekilde yapılandırılabilir, böylece dolaylı ağ erişimi ile bile saldırılar gerçekleştirilebilir.
MultiRelay İşleyişi
MultiRelay, /usr/share/responder/tools dizininden belirli IP'ler veya kullanıcılar hedef alınarak çalıştırılır.
Bu araçlar ve teknikler, çeşitli ağ ortamlarında NTLM Relay saldırıları gerçekleştirmek için kapsamlı bir set oluşturur.
NTLM Oturumu Zorlama
Windows'ta, bazı ayrıcalıklı hesapları keyfi makinelerde kimlik doğrulamaya zorlayabilirsiniz. Nasıl yapılacağını öğrenmek için aşağıdaki sayfayı okuyun:
pageForce NTLM Privileged AuthenticationReferanslar
Last updated