在 Windows 环境中使用 Responder 窃取 NTLMv2 哈希并利用

最新推荐文章于 2022-04-26 14:52:43 发布
最新推荐文章于 2022-04-26 14:52:43 发布
阅读量879 收藏
点赞数
分类专栏: Responder 
原文链接:https://xz.aliyun.com/t/3560
版权

Responder工具

Responder下载地址: https://github.com/lgandx/Responder
Responder工具可以污染LLMNR和NBT-NS请求。

首先假设连接到Windows活动目录环境(Windows Active directory),当网络上的设备尝试用LLMNR和NBT-NS请求来解析目的地机器时,Responder就会伪装成目的地机器。当受害者机器尝试登陆攻击者机器,responder就可以获取受害者机器用户的NTLMv2哈希值。

在demo攻击中,讨论了2种攻击。

  • 获取NTLMv2哈希值,并使用Hashcat密码破解工具。
  • 使用Responder和Multirelay.py脚本,脚本负责执行NTMLMv2哈希值中继到SMB签名未启用的机器上。如果中继成功,就可以访问目标机器。

获取NTLMv2哈希

运行Responder,用参数-l指定机器的以太网接口,示例中是eth0
命令为:
python Responder.py -I <Interface_card_name>

比如
python Responder.py -I eth0

Responder监听模式:

如果网络上的用户需要访问没有IP或用户类型分析名的share,机器会触发到网络的LLMNR请求,responder会回答说它是该机器,访问该资源需要提供NTLMv2 hash。

这里,用户 box1(IP192.168.56.101)尝试访问名为pwned68的共享分区。当机器触发LLMNR请求时,Responder会响应该请求并从域名DC2获取用户box1的NTLMv2哈希值。

现在需要破解哈希值来获取明文密码。Hashcat是执行哈希破解最快的工具,支持CPU/GPU哈希破解和多种哈希格式。Hashcat官方下载地址为:https://hashcat.net/hashcat/ 。
密码词典下载地址:https://hashkiller.co.uk/downloads.aspx 。

 

在获取了明文密码后,就可以用该域名哎登陆Windows域名上的其他机器来尝试是否可以访问其他机器上的敏感信息。

获取shell访问权限

Responder是少有的可以通过中继NTLMv2哈希来获取网络中机器的shell访问权限。获取哈希值可以帮助攻击者获取shell访问权限。正常的Domain用户哈希并不能帮助获取shell访问权限。但admin用户尝试访问也有的share,multirelay.py脚本会用获取的NTLMv2哈希值来登陆Windows域网络一部分的机器中。

为了设置这些,需要修改Responder.conf文件。打开Responder.conf文件,将SMBHTTP的值改为off。这样responder就不会获取哈希值,而是Multirelay.py来完成这一任务。

然后,运行RunFinger.py脚本来识别将SMB signing设置为False的网络中的HOST机器,因为只能对SMB signing设置为True的机器发起攻击。脚本在responder的tools目录中可以查看。RunFinger.py脚本会预测IP的范围来检查现有的HOSTS的SMB signing是否启用。运行RunFinger.py脚本的命令为:

python  RunFinger.py -i IP_Range

示例:

python RunFinger.py -i 192.168.56.100-200

脚本输出结果:

这里只有3个机器。其中一个是域名控制器机器,另一个是Windows域中的Windows 7主机。IP为192.168.56.101的机器SMB Signing未启用。因此可以对该机器进行NTMLv2哈希中继攻击。在发现了这些机器后,可以设置responder和multirelay.py脚本来访问SMB Signing未启用的机器。运行下面的命令可以开启Responder和Multirelay.py:

在第一个终端上,开启responder:

python Responder.py -I <interface_card>

在第二个终端上,运行Multirelay.py脚本:

python MultiRelay.py -t <target_machine_IP> -u ALL

两个脚本的动作如下:

 

域中的admin用户会尝试访问不存在的share,responder会污染响应消息。Multirelay.py会通过获取NTLMv2哈希值来完成其他动作,并与目标机器相关联。成功中继后就可以获取目标机器上的shell访问权限。

 

在获取shell权限后,就可以执行加载Mimikatz这样的动作了。

 

https://github.com/incredibleindishell/Windows-AD-environment-related/tree/master/Responder

子曰小玖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Responder使用
谢公子的博客
09-05 1405
Responder是一个LLMNR,NBT-NS和MDNS投毒者,它将回答特定的NBT-NS(NetBIOS名称服务)查询。
Responder 利用
子曰小玖的博客
04-24 3253
总结与思考: 1. 利用Responder进行NTLMV2哈希窃取 2. 使用Responder进行继,攻击成功后进行代码执行 3. 使用Responder进行凭证/哈希破解 4. 使用Responder进行快速SMB扫描 5. 使用Responder配合MSF反弹shell 6. LLMNR/NBT-NS攻击的防御 概述: Responder是对渗透测试工作者来说一个很棒的工...
PDF窃取Windows NTLM哈希
wjwqp的专栏
09-18 252
创建这个PDF,使用BadPDF,一个非常简单易用的python, 它将创建我们的PDF并设置一个响应者监听器,允许我们捕获谁打开PDF的哈希NTLM Kali linux运行Bad-PDF: 运行Python脚本并通配置一些参数 将创建好的恶意SMB发送给受害者 然后等待执行 执行PDF时,它将发送请求,我们将获取哈希值 一旦恶意文件传输给受害者,我们将等待执行。执行PDF时,它将发送请求,我们将获取哈希值。上图就是获取的哈希 通过Hashcat我们将执行暴力破解哈希 得到密..
Windows环境利用Responder工具窃取NTLMv2哈希
weixin_30706507的博客
01-11 330
Windows环境利用Responder工具窃取NTLMv2哈希 翻译自:https://github.com/incredibleindishell/Windows-AD-environment-related/tree/master/Responder 翻译:lipss 校对:看雪翻译小组 一壶葱茜 responder 下载地址: https://github.com/lgan...
使用Responder获取ntlmv2 hash
whojoe的博客
03-03 1329
使用Responder获取ntlmv2 hashResponder配置下载获取ntlmv2hash之后进行爆破获取ntlmv2使用hashcat爆破密码继获得shell参考文章 Responder配置 下载 https://github.com/lgandx/Responder Responder工具可以污染LLMNR和NBT-NS请求。 在目录下的Responder.conf可以配置启用的模块 如果只需要获取ntlmv2hash使用默认配置即可,之后使用Hashcat进行暴力破解 如果要使用ntlm
ssdp-responder:适用于Linux的SSDP响应器,Windows的InternetGatewayDevice图标
05-25
在任何大小的设置都有用,但更多地针对需要向Windows系统宣布自己的嵌入式系统。 ssdpd是一个独立的UNIX守护程序,没有外部依赖关系,但有标准的C库。 它具有一个内置的Web服务器,用于提供Windows用于显示图标的...
Eight-way-Responder.rar_Responder_eight
09-24
标题的“Eight-way Responder”很可能是一个基于Keil C编程的项目,它涉及到电子工程的多路应答器系统。这种系统通常用于自动化、通信或数据采集应用,它可以同时处理多个输入或输出信号,提高系统的效率和...
apla-responder:帮助程序模块,用于在Node的处理程序构建Alexa APLA文档
05-17
"在Node的处理程序" 指出该模块是基于 Node.js 开发的,Node.js 是一个广泛使用的 JavaScript 运行环境,尤其适合构建服务器端和可扩展的应用程序。这意味着开发者可以在后端服务器上直接处理 APLA 文档的构建,...
Laravel-5-Action-Domain-Responder:L5 的 ADR 模式
06-26
在MVC模式,控制器负责处理用户请求,调用模型进行业务逻辑处理,并将结果传递给视图进行展示。然而,ADR模式旨在分离这些职责,让每个部分更加专注和可测试。 **动作(Action)** 在ADR模式,动作是处理HTTP...
Responder
m0_56010012的博客
04-11 2683
在hack the box 最后一个sql注入题时,有这个工具的使用,之前没有接触过,看write up上是需要利用两个IP地址,似乎与内网渗透有关,马上查找相关资料,看到底是个什么东东。
responder.rar
06-25
一、数字抢答器设计 设计一个数字抢答器系统,该系统具有三路抢答输入,能够识别最先抢答的信号,能对回答问题所用的时间进行计时、显示,能进行抢答报警及超时报警,具有记分和复位功能。 二、数字抢答器的设计要求 1、设计一个10秒的倒计时计时器用于选手看题准备并且设计一个60秒的倒计时用于答题。(10分) 2、设计电路实现三人抢答。 3、实现用数码管显示当前比赛进行的状态,各个状态如下: 1)抢答前显示开始抢答:“b”。 (10分) 2)若在十秒的该抢答时间内无人抢答,显示失败:“F”,进入下一题答题程序。(10分) 3)抢答后显示抢答选手的编号:“1”、“2”、“3”。 (20分) 4)选手抢到题后该选手指示灯亮,回答完毕或回答时间到熄灭。 (20分) 5)若选手在六十秒的回答时间内未完成回答则显示失败:“F”,若在有效时间内回答完毕则由裁判对回答进行正误判断,如此反复,共进行5次。 (10分) 6)当完成竞赛总数(共5题)题目时,显示竞赛结束:“E”。(10分) 4、设计计分器对选手的得分进行及时的显示。(基础分为5分,答对一题得1分,答错或回答超时扣1分,最低0分,不出现负分。)(10分)
LLMNR欺骗工具Responder .docx
08-12
LLMNR欺骗工具Responder .docx
利用系统漏洞拿shell,kali强大工具Responder
qq_39815966的博客
10-17 1707
这是一种不用通过漏洞利用来获取权限的一种方法,使用的是kali的一个工具,叫Responder,主要是通过监听网络,有人如果访问了虚假的共享文件地址,就会获得该系统登录口令的哈希值,然后再通过脚本进行hash爆破就可以获取口令,再通过ipc建立空连接获得系统权限。 我们的第一步当然是获取该工具喽,非常的简单,只要从github上下载即可, 当然首先你先需要安装一下python环境和git工具 # apt-get intall build-essential git python-dev 然后是直接从git
SMB继——内网渗透
include_voidmain的博客
04-26 3301
0x01 SMB协议 SMB概述: SMB(ServerMessage Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。 SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。 SMB使用了NetBIOS的应用程序接口 (ApplicationProgram Interface,简称API),一般端口使用为139,4
PaintCode Tutorial: Bezier Paths
args_的博客
09-14 731
Learn how to create dynamic curved arrows! Welcome to our third and final part of our PaintCode tutorial series! PaintCode is a neat app where you can draw user interfaces like in Photoshop
Responder探测内网获取域控权限总结
weixin_34117522的博客
03-19 841
Responder探测内网获取域控权限总结(1)执行Responder探测内网(https://github.com/lgandx/Responder)./Responder.py -I eth0 -rPv(2)获取172.16.157.133的Responder值(3)使用Crack Map Exec检查此主机的NetBIOS信息cme smb 172.16.157.133(4)使用hashca...
内网渗透----Linux下信息收集
浅笑996的博客
12-04 4474
1.系统类型 cat /etc/issue查看系统名称 Lsb-release查看系统名称、版本号 2. 内核版本 uname –a 查看所有信息 ls /root |grep vmlinuz 3. 进程 ps aux 查看进程信息 ps –ef查看进程信息 4. 安装的软件包 使用dpkg –l查看安装的软件包 5. 服务配置 查看apache配置文件 6. 网络...
Responder 嗅探/欺骗工具
课嗨教育的专栏
02-07 1111
responder 这个工具首先是一个LLMNR和NBT-NS响应者,它将根据它们的名字后缀来回答特定的NBT-NS(NetBIOS名称服务)查询 。默认情况下,该工具只会回答针对SMB的文件服务器服务请求。这背后的概念是针对我们的答案,并在网络上隐身。这也有助于确保我们不会破坏合法的NBT-NS行为。如果您希望此工具回答工作站服务请求名称后缀,可以通过命令行将-r选项设置为1。 用法: responder -I eth0 -w -r -f 或 responder -I eth0 -wrf 帮助:
嗅探/欺骗工具 Responder
子曰小玖的博客
04-24 894
responder 这个工具首先是一个LLMNR和NBT-NS响应者,它将根据它们的名字后缀来回答特定的NBT-NS(NetBIOS名称服务)查询 。默认情况下,该工具只会回答针对SMB的文件服务器服务请求。这背后的概念是针对我们的答案,并在网络上隐身。这也有助于确保我们不会破坏合法的NBT-NS行为。如果您希望此工具回答工作站服务请求名称后缀,可以通过命令行将-r选项设置为1。 项目地址...
rust如何在处理错误响应时返回自定义json正文?统一使用responder作为返回值
最新发布
07-17
在 Rust ,你可以使用 `actix-web` 框架提供的 `Responder` trait 来统一处理错误响应并返回自定义的 JSON 正文。通过实现 `Responder` trait,你可以定义一个自定义的响应类型,并在处理错误时返回该响应类型的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值