Responder工具的工作原理是通过发送伪造的网络协议响应,引诱客户端自动发出验证请求。当客户端发送带有凭证信息的认证请求时,Responder便能够捕获到这些凭证信息,并将其保存在日志文件中,供后续分析和利用。
Responder可以伪造SMB服务,并捕获客户端发送的NTLMv1/v2哈希凭证,用于进行离线密码破解或进行中间人攻击。
HTTP/HTTPS响应劫持:
Responder可以伪造HTTP/HTTPS服务,并捕获客户端发送的明文或加密的HTTP凭证信息,如用户名和密码。
LLMNR/NBT-NS/MDNS响应劫持:
Responder可以通过伪造LLMNR(Link-Local Multicast Name Resolution)、NBT-NS(NetBIOS Name Service)和MDNS(Multicast DNS)协议响应,引诱客户端向其发送凭证信息。
LLMNR链路本地多播名称解析
LLMNR 是一种协议,允许在不需要 DNS 服务器的情况下进行名称解析。当 DNS 服务器无法响应时(如本地网络无 DNS 或 DNS 故障),主机通过 UDP 5355 端口向链路本地组播地址(IPv4: 224.0.0.252,IPv6: FF02::1:3)发送查询请求,所有监听该地址的设备均可回复。它取代了NBT-NS。攻击者可伪造 LLMNR 响应,将目标主机流量劫持至恶意服务器,用于窃取凭据(如 SMB/NTLMv2 哈希)或实施钓鱼。Responder 工具通过监听 LLMNR/NBT-NS 流量自动化发起攻击。
MDNS
组播 DNS (mDNS) 是一种基于本地网络的去中心化名称解析协议。在无传统DNS服务器的环境中实现设备自动发现与通信。广泛应用于物联网、跨平台服务发现及小型网络环境。攻击者伪造 mDNS 响应,将 printer.local 指向恶意服务器,窃取用户凭据(如 HTTP 登录页钓鱼)。Responder 工具可毒化 mDNS 缓存,结合 NTLMv2 哈希中继攻击企业内网。
在kali中自带respnder
apt-get install responderresponder -hresponder -I eth0
用法:responder -I eth0 -w -d或:responder -I eth0 -wd查看responder参数选项:--version 显示程序的版本号并退出-h, --help 显示此帮助消息并退出-A, --analyze 分析模式。此选项允许您查看 NBT-NS、BROWSER、LLMNR 请求而不进行响应。-I eth0, --interface=eth0要使用的网络接口,您可以使用“ALL”作为所有接口的通配符-i 192.168.0.1, --ip=192.168.0.1要使用的本地 IP(仅适用于 OSX)-e 192.168.0.1, --externalip=192.168.0.使用与响应者不同的 IP 地址来毒害所有请求。-b, --basic 返回基本 HTTP 身份验证。默认值:NTLM-d, --DHCP 启用 DHCP 广播请求的应答。此选项将在 DHCP 响应中注入 WPAD 服务器。默认值:False-D,--DHCP-DNS 此选项将在 DHCP响应中注入 DNS 服务器,否则将添加 WPAD 服务器。默认值:False-w,--wpad 启动 WPAD 恶意代理服务器。默认值为False-u UPSTREAM_PROXY,--upstream-proxy=UPSTREAM_PROXY恶意 WPAD 代理用于传出请求的上游 HTTP 代理(格式:主机:端口)-F,--ForceWpadAuth 在 wpad.dat 文件检索时强制进行 NTLM/Basic 身份验证。这可能会导致登录提示默认值:False-P,--ProxyAuth 强制对代理进行 NTLM(透明)/Basic(提示)身份验证。WPAD 不需要处于ON 状态。此选项非常有效。默认值:False-Q,--quiet 告诉响应器保持安静,禁用大量来自毒药的打印。默认值:False--lm 强制对 Windows XP/2003 及更早版本的 LM 哈希降级。默认值:False--disable-ess 强制 ESS 降级。默认值:False-v,--verbose 增加详细程度。
原文始发于微信公众号(老付话安全):内网渗透测试之Responder工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论