Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
AWS Hacking'i öğrenin ve uygulayın: 
HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve uygulayın: 
HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Ağ Protokolleri
Yerel Ana Bilgisayar Çözümleme Protokolleri
LLMNR, NBT-NS ve mDNS:
Microsoft ve diğer işletim sistemleri DNS başarısız olduğunda yerel ad çözümlemesi için LLMNR ve NBT-NS kullanır. Benzer şekilde, Apple ve Linux sistemleri mDNS kullanır.
Bu protokoller, kimlik doğrulamasız, UDP üzerinden yayın yapmaları nedeniyle dinleme ve sahtecilikten etkilenir.
Bu protokollerin sorgulayan ana bilgisayarlara sahte yanıtlar göndererek hizmetleri taklit etmek için Responder kullanılabilir.
Responder kullanarak hizmet taklit etme hakkında daha fazla bilgiye buradan ulaşılabilir.
Web Proxy Otomatik Keşif Protokolü (WPAD)
WPAD tarayıcıların proxy ayarlarını otomatik olarak keşfetmelerine olanak tanır.
Keşif, DHCP, DNS veya DNS başarısız olursa LLMNR ve NBT-NS'ye geri dönerek kolaylaştırılır.
Responder, istemcileri kötü niyetli WPAD sunucularına yönlendiren WPAD saldırılarını otomatikleştirebilir.
Protokol Zehirleme İçin Responder
Responder, LLMNR, NBT-NS ve mDNS sorgularını zehirlemek için kullanılan bir araçtır, sorgu türlerine göre seçici olarak yanıt verir ve genellikle SMB hizmetlerini hedef alır.
Kali Linux'ta önceden yüklenmiş olarak gelir ve
/etc/responder/Responder.confkonumunda yapılandırılabilir.Responder, yakalanan hash'leri ekranda gösterir ve bunları
/usr/share/responder/logsdizininde kaydeder.IPv4 ve IPv6'yı destekler.
Responder'ın Windows sürümü burada bulunabilir.
Responder'ı Çalıştırma
Varsayılan ayarlarla Responder'ı çalıştırmak için:
responder -I <Arayüz>Daha agresif sorgulama için (potansiyel yan etkilerle):
responder -I <Arayüz> -P -r -vNTLMv1 meydan okumalarını/yanıtlarını daha kolay kırabilmek için teknikler:
responder -I <Arayüz> --lm --disable-essWPAD taklit edilmesi şu şekilde etkinleştirilebilir:
responder -I <Arayüz> --wpadNetBIOS istekleri saldırganın IP'sine çözümlenebilir ve kimlik doğrulama vekili kurulabilir:
responder.py -I <arayüz> -Pv
Responder ile DHCP Zehirleme
DHCP yanıtlarını sahteleştirerek bir kurbanın yönlendirme bilgilerini kalıcı olarak zehirleyebilir, ARP zehirleme için daha gizli bir alternatif sunar.
Hedef ağın yapılandırması hakkında kesin bilgi gerektirir.
Saldırıyı çalıştırmak:
./Responder.py -I eth0 -PdvBu yöntem etkili bir şekilde NTLMv1/2 hash'lerini yakalayabilir, ancak ağ kesintisinden kaçınmak için dikkatli bir şekilde ele alınmalıdır.
Responder ile Kimlik Bilgilerinin Yakalanması
Responder yukarıda bahsedilen protokoller kullanılarak hizmetleri taklit eder, kullanıcılar sahtecilik yapılan hizmetlere kimlik doğrulamaya çalıştığında kimlik bilgilerini (genellikle NTLMv2 Meydan Okuma/Yanıtı) yakalar.
Kimlik bilgilerini daha kolay kırmak için NetNTLMv1'e düşürme veya ESS'yi devre dışı bırakma girişimleri yapılabilir.
Bu tekniklerin yasal ve etik bir şekilde kullanılması, uygun yetkilendirme sağlanması ve ağda kesinti veya izinsiz erişimden kaçınılması önemlidir.
Inveigh
Inveigh, Windows sistemler için tasarlanmış bir araçtır ve penetrasyon testçileri ve kırmızı takım üyeleri için benzer işlevlere sahiptir. Sahtecilik ve adam ortasında saldırılar gerçekleştiren Responder'a benzer işlevsellikler sunar. Araç, bir PowerShell betiğinden C# ikiliye evrim geçirmiş olup Inveigh ve InveighZero ana sürümleri olarak geliştirilmiştir. Detaylı parametreler ve talimatlar wiki sayfasında bulunabilir.
Inveigh, PowerShell üzerinden çalıştırılabilir:
Ya da bir C# ikili dosyası olarak yürütülür:
NTLM Aktarım Saldırısı
Bu saldırı, bir hedef makineye erişmek için SMB kimlik doğrulama oturumlarını kullanır ve başarılı olursa bir sistem kabuğu sağlar. Ana gereksinimler şunlardır:
Kimlik doğrulayan kullanıcının, iletilen ana bilgisayarda Yerel Yönetici erişimine sahip olması gerekir.
SMB imzalamasının devre dışı bırakılması gerekmektedir.
445 Port Yönlendirme ve Tünelleme
Doğrudan ağ tanıtımının mümkün olmadığı senaryolarda, 445 numaralı port üzerindeki trafiğin yönlendirilmesi ve tünellenmesi gerekmektedir. PortBender gibi araçlar, 445 numaralı port trafiğini başka bir porta yönlendirmede yardımcı olur; bu, yerel yönetici erişimi sürücü yükleme için kullanılabilir olduğunda önemlidir.
Cobalt Strike'da PortBender kurulumu ve işleyişi:
NTLM Aktarım Saldırısı için Diğer Araçlar
Metasploit: Proxy'ler, yerel ve uzak ana bilgisayar ayrıntıları ile kurulur.
smbrelayx: SMB oturumlarını aktarmak ve komutları yürütmek veya arka kapılar dağıtmak için Python betiği.
MultiRelay: Belirli kullanıcıları veya tüm kullanıcıları aktarmak, komutları yürütmek veya hash'leri dökmek için Responder paketinden bir araç.
Her bir araç, gerektiğinde SOCKS proxy üzerinden çalışacak şekilde yapılandırılabilir, dolaylı ağ erişimi ile bile saldırıları mümkün kılar.
MultiRelay İşlemi
MultiRelay, belirli IP'ler veya kullanıcıları hedefleyerek /usr/share/responder/tools dizininden yürütülür.
NTLM Aktarım Saldırılarını Yapmak İçin Kapsamlı Bir Set
Windows'ta bazı ayrıcalıklı hesapları zorlayarak bu hesapların keyfi makinelerde kimlik doğrulamasını yapmasını sağlayabilirsiniz. Nasıl yapılacağını öğrenmek için aşağıdaki sayfayı okuyun:
Force NTLM Privileged AuthenticationReferanslar
AWS Hacking'ı Öğrenin ve Uygulayın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'ı Öğrenin ve Uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Last updated