Responder
Широковещательное отравление в AD - LLMNR Poisoning или Link-Local Multicast Name Resolution Poisoning — это метод атаки, обычно используемый во время тестирования на проникновение в локальной сети. Он работает, используя уязвимость безопасности в протоколе Link-Local Multicast Name Resolution, который основан на DNS. Если компьютер в сети пытается разрешить имя хоста, которое DNS не может разрешить, он будет использовать LLMNR для связи с другими машинами в сети и спросит, знает ли кто-нибудь имя хоста.
В средах Active Directory LLMNR часто включен и широко используется, но он также оказывает значительное влияние на безопасность. Если поиск несуществующего узла выполняется с помощью LLMNR, он будет транслировать запрос в каждую систему, подключенную к локальной сети. Скомпрометированная машина в сети получит запрос на хост и может отправить ответ машине жертвы, запрашивая хэш пароля жертвы. Эту атаку можно выполнить с помощью инструмента Responder, запустив:
python3 responder.py -I <Interface> -rdwv
Взлом хэша NTLMv2 от LLMNR Poisoning выполняется с помощью инструмента Hashcat. Злоумышленнику необходимо получить хэш пароля и использовать его в качестве входных данных для инструмента Hashcat вместе со списком паролей. Команда для взлома хэша NTLMv2:
hashcat64.exe -m 5600 hash.txt password_list.txt -o cracked.txt
Эта команда указывает Hashcat использовать режим 5600 для хэшей NTLMv2.
Это инструмент, используемый для отравления запросов LLMNR, NBT-NS и mDNS, выборочно отвечающий на основе типов запросов, в первую очередь нацеленный на службу SMB. Он предустановлен в Kali Linux, настраивается в /etc/responder/Responder.conf. Responder отображает захваченные хеши на экране и сохраняет их в каталоге /usr/share/responder/logs. Он поддерживает как IPv4, так и IPv6. Версия Responder для Windows доступна здесь.
Чтобы запустить Responder с настройками по умолчанию, выполните:
responder -I <Interface>
Для более агрессивного зондирования (с возможными побочными эффектами):
responder -I <Interface> -P -r -v
Методы захвата challenges/responses NTLMv1 для упрощения взлома:
responder -I <Interface> --lm --disable-ess
Олицетворение WPAD можно активировать с помощью:
responder -I <Interface> --wpad
Запросы NetBIOS могут быть разрешены к IP-адресу злоумышленника, а также может быть настроен прокси аутентификации:
responder -I <Interface> -Pv
Команда "python3 responder.py -I <interface> -rdwv" используется для запуска Responder в режиме ретрансляции. Опция -I указывает сетевой интерфейс, который Responder будет прослушивать, а опция -rdwv включает сервера LLMNR, NBT-NS и WPAD.
Вы можете запустить Responder в режиме ретрансляции с помощью команды
responder -I <interface> -rdwv
Чтобы ретранслировать хеши NTLMv2, вы можете использовать команду
ntlmrelayx.py с опциями -tf machines.txt -smb2support
Опция -tf указывает на файл, содержащий список целевых IP-адресов, а опция -smb2support включает поддержку SMBv2. Если вы хотите получить интерактивную оболочку, вы можете добавить опцию -i. Наконец, вы можете подключиться к оболочке с помощью команды netcat.
Практический пример: использование Kali & Responder
1) Пользователь отправляет неверный адрес SMB Share \SNARE01
2) DNS-сервер отвечает \SNARE01 - NOT FOUND
3) Клиент осуществляет трансляцию LLMNR / NBT-NS
4) responder сообщает клиенту, что это SNARE01 и принимает хэш NTLMv2
5) Responder отправляет ошибку обратно клиенту, поэтому конечный пользователь не знает об этом и просто думает, что у него неправильное имя общего ресурса.
Пример: Запуск на локальном IP-адресе 192.168.210.145 и адаптере eth0
python Responder.py -i 192.168.210.145 -I eth0
После выполнения Responder.py мы имитируем ввод пользователем неправильного имени сервера SMB, используя SNARE01 вместо SHARE01.
В течение нескольких секунд после того, как клиент передал неверное имя сервера, Responder.py ответил на широковещательный запрос и записал хэш NTLMv2 на диск.
Следующая ошибка возвращается на клиентский компьютер из Responder.py:
Последним шагом является взлом хэша NTLMv2, в зависимости от сложности политики паролей в целевой среде это может занять некоторое время. hashcat будет лучшим выбором для взлома в автономном режиме. Поскольку пароль намеренно небезопасен в тестовой лабораторной среде, для взлома хэша NTLMv2 используется john:
