Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Протоколи мережі
Протоколи локального вирішення хоста
LLMNR, NBT-NS та mDNS:
Microsoft та інші операційні системи використовують LLMNR та NBT-NS для локального вирішення імен при невдачі DNS. Так само, Apple та Linux системи використовують mDNS.
Ці протоколи піддаються перехопленню та підробленню через їх невпізнану, розповсюджену природу через UDP.
Responder може бути використаний для підроблення служб шляхом відправлення підроблених відповідей на хости, які запитують ці протоколи.
Додаткову інформацію про підроблення служб за допомогою Responder можна знайти тут.
Протокол автоматичного відкриття веб-проксі (WPAD)
WPAD дозволяє браузерам автоматично відкривати налаштування проксі.
Відкриття здійснюється через DHCP, DNS або в разі невдачі - через LLMNR та NBT-NS.
Responder може автоматизувати атаки WPAD, направляючи клієнтів на зловмисні сервери WPAD.
Responder для отруєння протоколів
Responder - це інструмент, який використовується для отруєння запитів LLMNR, NBT-NS та mDNS, відповідаючи вибірково на типи запитів, переважно спрямованих на служби SMB.
Він поставляється заздалегідь в Kali Linux, налаштовується в
/etc/responder/Responder.conf
.Responder відображає захоплені хеші на екрані та зберігає їх у каталозі
/usr/share/responder/logs
.Підтримує як IPv4, так і IPv6.
Версія Responder для Windows доступна тут.
Запуск Responder
Для запуску Responder зі стандартними налаштуваннями:
responder -I <Інтерфейс>
Для більш агресивного сканування (з можливими побічними ефектами):
responder -I <Інтерфейс> -P -r -v
Техніки захоплення викликів/відповідей NTLMv1 для полегшення розкриття:
responder -I <Інтерфейс> --lm --disable-ess
Підроблення WPAD може бути активоване за допомогою:
responder -I <Інтерфейс> --wpad
Запити NetBIOS можуть бути розрішені на IP атакуючого, і може бути налаштований аутентифікаційний проксі:
responder.py -I <інтерфейс> -Pv
Отруєння DHCP за допомогою Responder
Підроблення відповідей DHCP може постійно отруїти інформацію маршрутизації жертви, пропонуючи більш прихований альтернативний варіант отруєння ARP.
Це вимагає точного знання конфігурації мережі цільової мережі.
Запуск атаки:
./Responder.py -I eth0 -Pdv
Цей метод може ефективно захоплювати хеші NTLMv1/2, але вимагає обережного обходу для уникнення розриву мережі.
Захоплення облікових даних за допомогою Responder
Responder буде підробляти служби за допомогою вищезгаданих протоколів, захоплюючи облікові дані (зазвичай виклик/відповідь NTLMv2), коли користувач намагається аутентифікуватися проти підроблених служб.
Можливі спроби зниження до NetNTLMv1 або вимкнення ESS для полегшення розкриття облікових даних.
Важливо зауважити, що використання цих технік повинно бути здійснене законно та етично, забезпечуючи належну авторизацію та уникнення розриву або несанкціонованого доступу.
Inveigh
Inveigh - це інструмент для пентестерів та команд червоних команд, призначений для систем Windows. Він пропонує функціональність, схожу на Responder, виконуючи підроблення та атаки людини посередника. Інструмент еволюціонував з PowerShell скрипту до бінарного файлу C#, з Inveigh та InveighZero як основні версії. Детальні параметри та інструкції можна знайти в вікі.
Inveigh може бути запущений через PowerShell:
Або виконано як C# бінарний файл:
Атака перехоплення NTLM
Ця атака використовує сеанси аутентифікації SMB для доступу до цільової машини, що надає системну оболонку у разі успіху. Основні передумови включають:
Користувач, який аутентифікується, повинен мати локальний адміністративний доступ на пересиланому хості.
Підпис SMB повинен бути вимкнений.
Перенаправлення та тунелювання порту 445
У випадках, коли пряме введення в мережу неможливе, потрібно перенаправити та тунелювати трафік на порту 445. Інструменти, такі як PortBender, допомагають перенаправити трафік порту 445 на інший порт, що є важливим, коли доступний локальний адміністративний доступ для завантаження драйверів.
Налаштування та робота PortBender в Cobalt Strike:
Інші Інструменти для Атаки NTLM Relay
Metasploit: Налаштування з проксі, локальними та віддаленими даними хосту.
smbrelayx: Скрипт на Python для передачі сеансів SMB та виконання команд або розгортання задніх дверей.
MultiRelay: Інструмент з набору Responder для передачі конкретних користувачів або всіх користувачів, виконання команд або виведення хешів.
Кожен інструмент може бути налаштований на роботу через проксі-сервер SOCKS у разі необхідності, що дозволяє здійснювати атаки навіть з опосередкованим мережевим доступом.
Операція MultiRelay
MultiRelay запускається з каталогу /usr/share/responder/tools, спрямовуючи конкретні IP-адреси або користувачів.
Примусові входи NTLM
У Windows ви можете змусити деякі привілейовані облікові записи аутентифікуватися на довільних машинах. Прочитайте наступну сторінку, щоб дізнатися як:
Force NTLM Privileged AuthenticationПосилання
Last updated