Responder工具

Responder下载地址: https://github.com/lgandx/Responder
Responder工具可以污染LLMNR和NBT-NS请求。

首先假设连接到Windows活动目录环境(Windows Active directory),当网络上的设备尝试用LLMNR和NBT-NS请求来解析目的地机器时,Responder就会伪装成目的地机器。当受害者机器尝试登陆攻击者机器,responder就可以获取受害者机器用户的NTLMv2哈希值。

在demo攻击中,讨论了2种攻击。

  • 获取NTLMv2哈希值,并使用Hashcat密码破解工具。
  • 使用Responder和Multirelay.py脚本,脚本负责执行NTMLMv2哈希值中继到SMB签名未启用的机器上。如果中继成功,就可以访问目标机器。

获取NTLMv2哈希

运行Responder,用参数-l指定机器的以太网接口,示例中是eth0
命令为:
python Responder.py -I <Interface_card_name>

比如
python Responder.py -I eth0

Responder监听模式:

如果网络上的用户需要访问没有IP或用户类型分析名的share,机器会触发到网络的LLMNR请求,responder会回答说它是该机器,访问该资源需要提供NTLMv2 hash。

这里,用户 box1(IP192.168.56.101)尝试访问名为pwned68的共享分区。当机器触发LLMNR请求时,Responder会响应该请求并从域名DC2获取用户box1的NTLMv2哈希值。

现在需要破解哈希值来获取明文密码。Hashcat是执行哈希破解最快的工具,支持CPU/GPU哈希破解和多种哈希格式。Hashcat官方下载地址为:https://hashcat.net/hashcat/
密码词典下载地址:https://hashkiller.co.uk/downloads.aspx

在获取了明文密码后,就可以用该域名哎登陆Windows域名上的其他机器来尝试是否可以访问其他机器上的敏感信息。

获取shell访问权限

Responder是少有的可以通过中继NTLMv2哈希来获取网络中机器的shell访问权限。获取哈希值可以帮助攻击者获取shell访问权限。正常的Domain用户哈希并不能帮助获取shell访问权限。但admin用户尝试访问也有的share,multirelay.py脚本会用获取的NTLMv2哈希值来登陆Windows域网络一部分的机器中。

为了设置这些,需要修改Responder.conf文件。打开Responder.conf文件,将SMBHTTP的值改为off。这样responder就不会获取哈希值,而是Multirelay.py来完成这一任务。

然后,运行RunFinger.py脚本来识别将SMB signing设置为False的网络中的HOST机器,因为只能对SMB signing设置为True的机器发起攻击。脚本在responder的tools目录中可以查看。RunFinger.py脚本会预测IP的范围来检查现有的HOSTS的SMB signing是否启用。运行RunFinger.py脚本的命令为:

python  RunFinger.py -i IP_Range

示例:

python RunFinger.py -i 192.168.56.100-200

脚本输出结果:

这里只有3个机器。其中一个是域名控制器机器,另一个是Windows域中的Windows 7主机。IP为192.168.56.101的机器SMB Signing未启用。因此可以对该机器进行NTMLv2哈希中继攻击。在发现了这些机器后,可以设置responder和multirelay.py脚本来访问SMB Signing未启用的机器。运行下面的命令可以开启Responder和Multirelay.py:

在第一个终端上,开启responder:

python Responder.py -I <interface_card>

在第二个终端上,运行Multirelay.py脚本:

python MultiRelay.py -t <target_machine_IP> -u ALL

两个脚本的动作如下:

域中的admin用户会尝试访问不存在的share,responder会污染响应消息。Multirelay.py会通过获取NTLMv2哈希值来完成其他动作,并与目标机器相关联。成功中继后就可以获取目标机器上的shell访问权限。

在获取shell权限后,就可以执行加载Mimikatz这样的动作了。

https://github.com/incredibleindishell/Windows-AD-environment-related/tree/master/Responder

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖