Responder is an LLMNR, NBT-NS and MDNS poisoner. It will answer to specific NBT-NS (NetBIOS Name Service) queries based on their name suffix
Responder 是一款可以在局域网模拟各种服务器的内网渗透神器
其可以在局域网中进行 DNS 欺骗、LLMNR 欺骗等,实现对用户 NTLM 口令的探测以及 DNS 钓鱼
同时其还可以模拟包括 FTP、HTTP 在内的多种服务器,并记录用户登录凭证
利用 LLMNR 欺骗窃取用户口令
LLMNR 协议负责在局域网中将计算机名转换为对应的 IP 地址,平时我们能通过 \\AAA 访问一台主机就是用了这种协议
当 Windows 访问共享资源时,对方主机有权对访问主机发起一次质询,在 NET-NTLMv1 协议中,这种质询会由服务器端生成一个随机质询数值,而客户端使用自己密码的哈希来 DES 加密这个质询值,并作为应答返回给服务器进行验证
在这个过程中,Responder 会响应局域网内任意的 LLMNR 解析,并向主机发起质询,获取主机的 Net-NTLM v1 或者 Net-NTLM v2 应答值,通过欺骗这种应答值,我们就能通过字典爆破获取用户的明文密码
在kali中自带respnder
apt-get install responder #安装
responder -h #查看responder参数
responder -I eth0 #指定监听的网卡
当局域网内内部访问或者使用浏览器时 responder就能抓取hash
responder -I eth0 -rwf