域渗透:LLMNR 投毒收集凭证及防御

admin
admin
admin
102795
文章
87
评论
2024年4月22日02:14:36评论1 views字数 1912阅读6分22秒阅读模式

域渗透:LLMNR 投毒收集凭证及防御

根据给定的渗透测试(白盒/灰盒/黑盒),您可能有也可能没有范围。对于这些示例,我假设我有客户域 corp.local 的范围,该域在 192.168.1.0/24 网络下运行。对于这些示例,我的 ESXI 服务器运行四个虚拟机:

  • Windows Server 2008 R2(主 DC)

  • Windows 7(工作站

  • Windows Server 2003(辅助 DC)

  • Windows XP(未修补;工作站)

我的初始扫描显示了四台机器及其 IP。这些工作站看起来可能拥有带有可利用漏洞的旧软件,但是我想尝试看看在导致缓冲区溢出等传统漏洞之前我可以在网络上找到哪些凭据。为此, 如果网络配置为使用这些协议(通常默认情况下处于启用状态),我将使用名为Responder的工具来利用 LLMNR 和 NBT-NS。

总结一下它们的作用,当您输入网络共享(例如 \Fileserver01),但它不存在时,默认情况下 Windows 会通过网络发送 LLMNR 广播,看看是否有人知道它在哪里。如果失败,则会使用 NBT-NS。如果失败,您会收到错误消息,指出找不到共享。但是,通过使用 Responder,我们通过说“是的,该共享存在,您的用户名和密码是什么?”来广播欺骗性的 LLMNR 和 NBT-NS 响应。然后将其传递给响应程序,但密码是 NTLMv2 哈希。

这是在行动中:默认情况下,Kali 已经安装了 Responder,所以你需要做的就是输入

responder -I eth0

域渗透:LLMNR 投毒收集凭证及防御

接下来,是模拟用户错误键入共享。

域渗透:LLMNR 投毒收集凭证及防御

我们现在在响应器中看到 LLMNR 请求

域渗透:LLMNR 投毒收集凭证及防御

不久之后,我们得到了用户的哈希凭据:

域渗透:LLMNR 投毒收集凭证及防御

无法传递 NTLMv1/2 哈希。常规 NTLM 哈希可以,但如果是 v1/v2,则不能。所以我们有两个选择:

1.我们可以破解它

2.我们可以使用像 ntlmrelayx.py 这样的工具来中继它

无论如何,破解始终是一个可行的选择,但并不总是有效,尤其是在组策略强制执行强密码的情况下。对于转发,你可以在这里阅读我的文章,但对于这篇文章,我会破解它。我个人喜欢 Hashcat,因为它可以利用我的 GPU。注意:我在 Windows 上安装了 hashcat

通过 Hashcat 破解哈希值

默认情况下,哈希存储在 /usr/share/responder/logs 中

使用命令

hashcat64.exe -m 5600 hash.txt password.txt -o results.txt

其中“hash.txt”是我的哈希值,“password.txt”是我的单词列表,“results.txt”是我的输出文件。-m 5600 表示哈希类型,即 NTLMv2。

运行命令后不久,密码就被破解了。

域渗透:LLMNR 投毒收集凭证及防御

从这里,我可以将 RDP 连接到机器中并随心所欲地操作,或者使用它来枚举其他机器,这在我的帖子中显示在这里。

LLMNR 中毒的缓解策略

有多种缓解策略可用于防止 LLMNR 中毒攻击

  • 在 Windows 环境中禁用 LLMNR:关闭多播名称解析以通过组策略禁用 LLMNR。它可以在计算机配置 > 管理模板 > 网络 > DNS 客户端下找到。将“关闭多播名称解析”设置为“启用”以从组策略编辑器关闭 LLMNR 广播。

  • 使用 DNS 代替 LLMNR:减少 LLMNR 中毒攻击的有效方法是使用 DNS 代替 LLMNR。DNS 更安全,不易受到 MITM 攻击;通过切换,所有名称解析请求都可以通过安全的 DNS 服务器进行路由,从而降低 LLMNR 中毒攻击的风险。

  • 使用网络分段:网络分段还可以通过隔离关键系统并限制任何 LLMNR 中毒攻击的影响来帮助防止 LLMNR 中毒攻击。如果攻击者设法在一个网段中实施 LLMNR 中毒攻击,这不会对网络上的其他网段产生任何持久的负面影响。

文章参考:

  • https://tcm-sec.com/llmnr-poisoning-and-how-to-prevent-it/

  • https://redfoxsec.com/blog/what-is-llmnr-poisoning-and-how-to-avoid-it/

  • https://www.cynet.com/attack-techniques-hands-on/llmnr-nbt-ns-poisoning-and-credential-access-using-responder/

  • https://simpuar.github.io/posts/THM-Credentials_Harvesting/

  • https://www.wolfandco.com/resources/blog/penetration-testers-best-frienddns-llmnr-netbios-ns/

原文始发于微信公众号(Ots安全):域渗透:LLMNR 投毒收集凭证及防御

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月22日02:14:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   域渗透:LLMNR 投毒收集凭证及防御http://cn-sec.com/archives/2675947.html

发表评论

匿名网友 填写信息