【内网学习笔记】18、LLMNR 和 NetBIOS 欺骗攻击
0、前言
如果已经进入目标网络,但是没有获得凭证,可以使用 LLMNR 和 NetBIOS 欺骗攻击对目标进行无凭证条件下的权限获取。
1、基本概念
LLMNR
本地链路多播名称解析(LLMNR)是一种域名系统数据包格式,当局域网中的 DNS 服务器不可用时,DNS 客户端就会使用 LLMNR 解析本地网段中机器的名称,直到 DNS 服务器恢复正常为止。
从 Windows Vista 开始支持 LLMNR ,Linux 系统也通过 systemd 实现了此协议,同时 LLMNR 也支持 IPv6。
NetBIOS
NetBIOS 协议是由 IBM 公司开发,主要用于数十台计算机的小型局域网,根据 NetBIOS 协议广播获得计算机名称,并将其解析成相应的 IP 地址。
从 Windows NT 以后版本的所有操作系统中都可以使用 NetBIOS,不过 NetBIOS 不支持 IPv6.
NetBIOS 提供的三种服务:
i、NetBIOS-NS(名称服务):主要用于名称注册和解析,以启动会话和分发数据报,该服务默认监听 UDP 137 端口,也可以使用 TCP 的 137 端口进行监听。
ii、Datagram Distribution Service(数据报分发服务):无连接服务,该服务负责进行错误检测和恢复,默认监听 UDP 138 端口。
iii、Session Service(会话服务):允许两台计算机建立连接,默认使用 TCP 139 端口。
Net-NTLM Hash
NTLM 即 NT LAN Manager,NTLM 是指 telnet 的一种验证身份方式,即问询/应答协议,是 Windows NT 早期版本的标准安全协议。
Net-NTLM Hash 不同于 NTLM Hash,NTLM Hash 是 Windows 登录密码的 Hash 值,可以在 Windows 系统的 SAM 文件或者域控的 NTDS.dit 文件中提取到出来,NTLM Hash 支持哈希传递攻击。
Net-NTLM Hash 是网络环境下 NTLM 认证的 Hash,使用 Responder 抓取的通常就是 Net-NTLM Hash,该 Hash 不能进行哈希传递,但可用于 NTLM 中继攻击或者使用 Hashcat 等工具碰撞出明文进行横向。
2、利用
Responder 是一款使用 Python 编写用于毒化 LLMNR 和 NBT-NS 请求的一款工具。
假设我们已连接到 Windows Active Directory 环境,当网络上的设备尝试用 LLMNR 和 NBT-NS(NetBIOS 名称服务)请求来解析目标机器时,Responder 就会伪装成目标机器。
当受害者机器尝试登陆攻击者机器,Responder 就可以获取受害者机器用户的 Net-NTLM 哈希值。
Responder 项目地址:https://github.com/lgandx/Responder
Responder 不支持 Windows,这里使用 Kali 进行演示。
Responder 开启监听,-I 指定网卡,这里 eth1 的 IP 为 192.168.7.65
python Responder.py -I eth1
开启监听后,当目标主机上有人访问 Responder 主机的共享目录时,就会看到对方的 Net-NTLM 哈希值了。
再利用 Hashcat 进行碰撞
hashcat -m 5600 hash.txt password.txt -D 1
参考文章:
https://www.jianshu.com/p/a210528f9b35
https://baike.baidu.com/item/NTLM/6371298
https://baike.baidu.com/item/LLMNR/1116392
https://www.freebuf.com/articles/system/194549.html
https://baike.baidu.com/item/NetBIOS%E5%8D%8F%E8%AE%AE/8938996
原文链接:
https://teamssix.com/year/210729-191048.html更多信息欢迎关注我的微信公众号:TeamsSix
【内网学习笔记】18、LLMNR 和 NetBIOS 欺骗攻击相关推荐
- 内网渗透研究:LLMNR和NetBIOS欺骗攻击分析
目录 基础知识 LLMNR是什么? LLMNR 的工作过程 NetBIOS是什么? Windows系统名称解析顺序 LLMNR和NetBIOS欺骗攻击 攻击原理 Responder工具利用过程 针对L ...
- 内网学习笔记 | SSH 隧道使用
前言 SSH 全称 Secure Shell,从它的名字来看这个协议就比较安全.SSH 协议是一种应用层协议,支持几乎所有 UNIX.Linux 平台. 得益于 SSH 协议在传输过程中都是加密,所 ...
- LLMNR和NetBIOS欺骗攻击分析及防范
本文首发于先知社区:https://xz.aliyun.com/t/9714 链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,IPv4和IPv6的主机可以通过此协议对同 ...
- 【内网学习笔记】21、哈希传递与票据传递
1.哈希传递 哈希传递(Pass The Hash, PTH)顾名思义,就是利用哈希去登录内网中的其他机器,而不是通过明文密码登录的方式. 通过哈希传递,攻击者不需要花时间破解哈希值得到明文,在Win ...
- 【内网学习笔记】10、ew 的使用
1.Socks 代理工具介绍 Socks 代理可以理解成升级版的 lcx,关于 lcx 的用法可以看我之前的文章: https://teamssix.com/year/210528-130449.ht ...
- 【内网学习笔记】9、iodine 使用
1.介绍 iodine 这个名字起的很有意思,iodine 翻译过来就是碘,碘的原子序数为 53,53 也就是 DNS 服务对应的端口号. iodine 和 dnscat2 一样,适合于其他请求方式被 ...
- 【内网学习笔记】24、SPN 的应用
0.前言 SPN Windows 域环境是基于微软的活动目录服务工作的,它在网络系统环境中将物理位置分散.所属部门不同的用户进行分组和集中资源,有效地对资源访问控制权限进行细粒度的分配,提高了网络环境 ...
- 【内网学习笔记】20、Hashcat 的使用
1.介绍 Hashcat 是一款用于破解密码的工具,据说是世界上最快最高级的密码破解工具,支持 LM 哈希.MD5.SHA 等系列的密码破解,同时也支持 Linux.Mac.Windows 平台. 工 ...
- 【内网学习笔记】5、BloodHound 的使用
1.介绍 BloodHound 使用可视化图形显示域环境中的关系,攻击者可以使用 BloodHound 识别高度复杂的攻击路径,防御者可以使用 BloodHound 来识别和防御那些相同的攻击路径.蓝 ...
最新文章
- 【ACM】杭电OJ 1241(深度优先搜索小结)
- SAP MM 盘点事务中的序列号
- 【scala初学】scala symbol 符号 -3
- 半年总结(2018-10)
- nmon服务器监控工具的使用安装
- Android Stdio 添加jar或aar
- 大力出奇迹!6144块TPU,5400亿参数,会改bug、解读笑话,谷歌刚刚用Pathways训练了一个大模型...
- 计算机网络电缆被拔出是怎么办,网络电缆被拔出是什么意思?网络电缆被拔出的修复办法...
- python数据分析多久能学会_周末深夜,学妹说她想做Python数据分析师....
- 甘肃刘家峡赤壁“结”出多彩冰瀑
- Java书籍推荐(这些书你看过几本?)
- 电子签章系统如何无代码接入第三方应用
- 【读书笔记】《M型社会》大前研一
- Web基础——JavaScript之事件绑定与事件对象
- 方差分析ANOVA:理论、推导与R语言实现
- 如何修改网卡的默认dns服务器,DNS怎么设置?DNS设置大全
- 520还在画玫瑰?教你用MATLAB画个玫瑰花球
- Java是剑客-飘逸;.NET是刀客-霸道 (二)
- 上海居住证及居住证积分常见问题(70个常见问题)
- oracle改字体大小_sqlplus改字体