历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    在 Windows 环境中使用 Responder 窃取 NTLMv2 哈希并利用
    angel010 安全工具 15813浏览 · 2018-12-15 02:09

    Responder工具

    Responder下载地址: https://github.com/lgandx/Responder
    Responder工具可以污染LLMNR和NBT-NS请求。

    首先假设连接到Windows活动目录环境(Windows Active directory),当网络上的设备尝试用LLMNR和NBT-NS请求来解析目的地机器时,Responder就会伪装成目的地机器。当受害者机器尝试登陆攻击者机器,responder就可以获取受害者机器用户的NTLMv2哈希值。

    在demo攻击中,讨论了2种攻击。

    • 获取NTLMv2哈希值,并使用Hashcat密码破解工具。
    • 使用Responder和Multirelay.py脚本,脚本负责执行NTMLMv2哈希值中继到SMB签名未启用的机器上。如果中继成功,就可以访问目标机器。

    获取NTLMv2哈希

    运行Responder,用参数-l指定机器的以太网接口,示例中是eth0
    命令为:
    python Responder.py -I <Interface_card_name>

    比如
    python Responder.py -I eth0

    Responder监听模式:

    如果网络上的用户需要访问没有IP或用户类型分析名的share,机器会触发到网络的LLMNR请求,responder会回答说它是该机器,访问该资源需要提供NTLMv2 hash。

    这里,用户 box1(IP192.168.56.101)尝试访问名为pwned68的共享分区。当机器触发LLMNR请求时,Responder会响应该请求并从域名DC2获取用户box1的NTLMv2哈希值。

    现在需要破解哈希值来获取明文密码。Hashcat是执行哈希破解最快的工具,支持CPU/GPU哈希破解和多种哈希格式。Hashcat官方下载地址为:https://hashcat.net/hashcat/
    密码词典下载地址:https://hashkiller.co.uk/downloads.aspx

    在获取了明文密码后,就可以用该域名哎登陆Windows域名上的其他机器来尝试是否可以访问其他机器上的敏感信息。

    获取shell访问权限

    Responder是少有的可以通过中继NTLMv2哈希来获取网络中机器的shell访问权限。获取哈希值可以帮助攻击者获取shell访问权限。正常的Domain用户哈希并不能帮助获取shell访问权限。但admin用户尝试访问也有的share,multirelay.py脚本会用获取的NTLMv2哈希值来登陆Windows域网络一部分的机器中。

    为了设置这些,需要修改Responder.conf文件。打开Responder.conf文件,将SMBHTTP的值改为off。这样responder就不会获取哈希值,而是Multirelay.py来完成这一任务。

    然后,运行RunFinger.py脚本来识别将SMB signing设置为False的网络中的HOST机器,因为只能对SMB signing设置为True的机器发起攻击。脚本在responder的tools目录中可以查看。RunFinger.py脚本会预测IP的范围来检查现有的HOSTS的SMB signing是否启用。运行RunFinger.py脚本的命令为:

    python  RunFinger.py -i IP_Range

    示例:

    python RunFinger.py -i 192.168.56.100-200

    脚本输出结果:

    这里只有3个机器。其中一个是域名控制器机器,另一个是Windows域中的Windows 7主机。IP为192.168.56.101的机器SMB Signing未启用。因此可以对该机器进行NTMLv2哈希中继攻击。在发现了这些机器后,可以设置responder和multirelay.py脚本来访问SMB Signing未启用的机器。运行下面的命令可以开启Responder和Multirelay.py:

    在第一个终端上,开启responder:

    python Responder.py -I <interface_card>

    在第二个终端上,运行Multirelay.py脚本:

    python MultiRelay.py -t <target_machine_IP> -u ALL

    两个脚本的动作如下:

    域中的admin用户会尝试访问不存在的share,responder会污染响应消息。Multirelay.py会通过获取NTLMv2哈希值来完成其他动作,并与目标机器相关联。成功中继后就可以获取目标机器上的shell访问权限。

    在获取shell权限后,就可以执行加载Mimikatz这样的动作了。

    https://github.com/incredibleindishell/Windows-AD-environment-related/tree/master/Responder

    2 人收藏 1 人喜欢 转载 分享
    1 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持