responder是渗透测试场景中广泛使用的工具，红队员可用于整个网络的横向移动。该工具包含许多有用的功能，如 LLMNR，NT-NS 和 MDNS 中毒。它在实际场景中用于支持各种 AD 攻击的哈希捕获或中毒答案转发等目标。

LLMNR、NBT-NS、MDNS 和 DHCP

LLMNR： LLMNR 是一种协议，允许在不需要 DNS 服务器的情况下进行名称解析。它能够根据通过网络发送的组播数据包提供主机名到 IP，要求所有侦听网络接口在查询中权威地称为主机名时进行回复。它通过将网络数据包发送到组播网络地址的端口 UDP 5355 来实现此目的。它允许 IPv4 和 IPv6 主机，并支持所有当前和未来的 DNS 格式、类型和类。它是NBT-NS的继任者。

NBT-NS： NetBIOS 名称服务 （NBT-NS） 是一种 Windows 协议，用于将 NetBIOS 名称转换为本地网络上的 IP 地址。它类似于DNS在互联网上所做的。每台计算机都由NBT-NS服务分配一个NetBIOS名称。适用于 UDP 端口 137。它是LLMNR的前身。

MDNS： 组播 DNS （mDNS） 是一种旨在帮助网络中的名称解析的协议。它不会查询名称服务器，而是直接将查询多播到网络中的所有客户端。在多播中，单个邮件直接针对一组收件人。在发件人和收件人之间建立连接时，所有参与者都会被告知名称和 IP 地址之间的连接，并且可以在其 mDNS 缓存中创建相应的条目。

LLMNR/NBT-NS中毒： 假设受害者想要连接到共享驱动器wow，以便它将请求发送到DNS服务器。唯一的问题是DNS无法连接到wow，因为它不存在。因此，服务器回复说他无法将受害者连接到wow。此后，受害者将此请求多播到整个网络（使用 LLMNR），以防任何特定用户知道到共享驱动器的路由 （wow）。

DHCP中毒： 动态主机客户端协议 （DHCP） 用于为主机提供其 IP 地址、子网掩码、网关等。Windows使用多个自定义DHCP选项，如NetBIOS，WPAD等。通过毒害DHCP响应，攻击者将能够帮助受害者查明其自己的流氓服务器以进行任何类型的身份验证。反过来，损害凭据。

玩转responder

查看帮助文档

responder -h

基于SMB LLMNR/NBT-NS

当系统尝试访问 SMB 共享时，它会向 DNS 服务器发送请求，然后将共享名称解析为相应的 IP 地址，请求系统可以访问它。但是，当提供的共享名称不存在时，系统会向整个网络发送 LLMNR 查询。这样，如果任何用户（IP 地址）有权访问该共享，它就可以回复并向请求者提供通信。

首先，我们在windows中新建一个文件共享。然后通过//来访问共享文件。

当通过访问共享文件后，我们在responder中监听即可。

responder -I eth0

效果如下：

便可以看到，抓取了相关信息。

当对方输入账号和密码后，我们便可以抓到相关账号和hash值。

对于hash值，我们可以用hashcat破解它

hashcat -m 5600 hash.txt /usr/share/wordlist.txt