Responder kali linux ��� ������������

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

Responder

Описание Responder

Responder это инструмент для выполнения атаки человек-посередине в отношении методов аутентификации в Windows. Эта программа включает в себя травитель LLMNR, NBT-NS и MDNS благодаря которому перенаправляется трафик с запросами и хешами аутентификации. Также в программу встроены жульнические серверы аутентификации HTTP/SMB/MSSQL/FTP/LDAP, которые поддерживают такие методы аутентификации как NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP и базовую HTTP аутентификацию, для которых Responder выполняет роль ретранслятора.

Responder это LLMNR, NBT-NS и MDNS poisoner (травитель). Он будет отвечать на определённые запросы NBT-NS (NetBIOS Name Service (Сервис Имён)) основываясь на их суффиксе имён. По умолчанию инструмент будет отвечать только на запросы File Server Service (службы файлового сервера) работу которого обеспечивает протокол SMB.

Идея здесь в том, чтобы наши ответы носили целевой характер, а мы были менее заметны в сети. Это также помогает гарантировать, что мы не нарушим нормальное поведение NBT-NS. Если вы хотите отвечать на запросы суффикса имени Workstation Service (сервиса рабочей станции), то вы можете в строке команды установить опцию -r.

Функции Responder

Встроенный сервер аутентификации SMB.

По умолчанию поддержка хешей NTLMv1, NTLMv2 с Расширенной Безопасностью NTLMSSP. Успешно протестировано с Windows 95 до Server 2012 RC, Samba и Mac OSX Lion. Пароль в открытом виде если поддерживается для NT4, и понижение хеширования LM когда установлена опция —lm. SMBv2 также был реализован и поддерживается по умолчанию.

Встроенный сервер аутентификации MSSQL.

Чтобы перенаправить SQL аутентификацию на этот инструмент, вам понадобится установить опцию -r (NBT-NS запросы для преобразования SQL Server используют суффикс имени Workstation Service (службы рабочей станции)) для систем старше чем Windows Vista (LLMNR будет использоваться для Vista и выше). Этот сервер поддерживает хеши NTLMv1, LMv2. Эта функциональность была успешно протестирована на Windows SQL Server 2005 и 2008.

Встроенный сервер аутентификации HTTP.

Для перенаправления HTTP аутентификации на этот инструмент, вам понадобится установить опцию -r для Windows версии старше чем Vista (NBT-NS запросы для преобразований сервера HTTP отправляются с использованием суффикса имени Workstation Service (службы рабочей станции)). Для Vista и выше, будет использоваться LLMNR. Этот сервер поддерживает NTLMv1, NTLMv2 хеши и Базовую аутентификацию (Basic Authentication). Этот сервер был успешно протестирован на IE с 6 версии по IE 10 версии, Firefox, Chrome, Safari.

Примечание: этот модуль также работает для аутентификации WebDav NTLM выпущенной от клиентов Windows WebDav (WebClient). Теперь вы можете отправить любой файл жертве.

Встроенный сервер аутентификации HTTPS.

Как и предыдущий. Папка certs/ содержит 2 предустановленных ключа, включая самодельный приватный ключ. Это сделано специально, в целях того, чтобы Responder работал из коробки. В этой же папке вы найдёте скрипт gen-self-signed-cert.sh, который был добавлен на тот случай, если вы захотите сгенерировать свою собственную самоподписанную пару ключей.

Встроенный сервер аутентификации LDAP.

Чтобы перенаправить LDAP аутентификацию на этот инструмент, вам нужно установить опцию -r для версий Windows версии старше чем Vista (NBT-NS запросы для преобразований сервера HTTP отправляются с использованием суффикса имени Workstation Service (службы рабочей станции)). Для Vista и выше, будет использоваться LLMNR. Этот сервер поддерживает NTLMSSP хеши и Simple Authentication )аутентификацию в виде простого текста). Этот сервер был успешно протестирован на Windows Support tool «ldp» и LdapAdmin.

Встроенные серверы аутентификации FTP, POP3, IMAP, SMTP.

Этот модуль соберёт учётные данные в виде простого текста.

Встроенный DNS сервер.

Этот сервер ответит записями A. Это очень полезно при сочетании с ARP спуфингом.

Встроенный прокси сервер WPAD.

Этот модуль будет захватывать все HTTP запросы от любого запущенного в сети Internet Explorer если у они имеют включённые «Auto-detect settings» (настройки автоматического определения прокси). Этот модуль крайне эффективный. Вы можете настроить ваш собственный скрипт в Responder.conf и внедрить HTML код в ответы сервера. Смотрите файл Responder.conf.

Слушатель браузеров (Browser Listener)

Этот модуль позволяет найти PDC в невидимом режиме.

Снятие отпечатков (Fingerprinting)

Когда используется опция -f, Responder будет снимать отпечатки с любого хоста, выполнившего LLMNR/NBT-NS запрос. В режиме снятия отпечатков все модули захвата продолжают работать.

Icmp редирект

Для атаки человек-посередине (MITM) на Windows XP/2003 и более ранних членах Домена. Эта атака в комбинации с модулем DNS является весьма эффективный.

Жульнический DHCP

DHCP Inform Spoofing. Позволяет вам сделать так, что реальный DHCP сервер выдаёт IP и затем отправляет DHCP Inform ответ для установки вам IP адреса как главного DNS сервера и вашего собственного WPAD URL.

Режим анализа.

Этот модуль позволяет вам видеть NBT-NS, BROWSER, LLMNR, DNS запросы в сети без их травления какими либо ответами. Также вы можете пассивно составить карту доменов, серверов MSSQL и рабочих станций, увидеть, будет ли атака ICMP Редиректы иметь успех в вашей сети.

Автор: Laurent Gaffie

Справка по Responder

Опции можно записывать как по одной:

так и компоновать вместе:

Справка по responder-multirelay

Для лучших результатов используйте этот скрипт в сочетании с responder. Убедитесь, что в файле Responder.conf значения SMB и HTTP установлены на OFF.

Этот инструмент прослушивает на TCP портах 80, 3128 и 445.

Для оптимальных результатов, запустите Responder только с этими двумя опциями: -rv

Избегайте использовать команды которые скорее всего вызовут приглашение ввода информации, такие как net use и т. д. Если вы сделали так, используйте taskkill (как system) для закрытия этого процесса.

Обязательными опциями являются -t и -u.

Доступные после запуска интерактивные команды:

dump

Извлечь базу данных SAM и напечатать хеши.

regdump

Дамп ключа регистра HKLM (например: regdump SYSTEM)

read ПУТЬ_ДО_ФАЙЛА

Прочитать файл (например: read /windows/win.ini)

get ПУТЬ_ДО_ФАЙЛА

Загрузить файл (например: get users/administrator/desktop/password.txt)

delete ПУТЬ_ДО_ФАЙЛА

Удалить файл (например: delete /windows/temp/executable.exe)

upload ПУТЬ_ДО_ФАЙЛА

Выгрузить локальный файл (например: upload /home/user/bk.exe), файлы будут выгружены в \\windows\\temp\\

runas КОМАНДА

Запустить КОМАНДУ как текущий выполнивший вход пользователь. (например: runas whoami)

scan /24

Сканировать (используя SMB) это /24 или /16 для поиска хостов для пивотинга

pivot IP адрес

Подключиться к другому хосту (например: pivot 10.0.0.12)

mimi КОМАНДА

Запустить удалённую Mimikatz 64 битную команду (например: mimi coffee)

mimi32 КОМАНДА

Запустить удалённую Mimikatz 32 битную команду (например: mimi coffee)

lcmd КОМАНДА

Запустить локальную команду и отобразить результат в оболочке MultiRelay (например: lcmd ifconfig)

help

exit

Выйти из оболочки и вернуться в режим ретранслятора.

Если вы хотите выйти, напишите exit, а затем используйте CTRL-c

Любые другие команды, отличные от вышеприведённых, будут выполнены на цели от SYSTEM.

Справка по responder-findsmb2uptime

Справка по responder-runfinger

Справка по responder-dhcp

По умолчанию этот скрипт будет внедрять новый DNS/WPAD сервер в машины с Windows = Vista и Linux, используйте -R (может быть шумным).

Используйте настройку RespondTo в файле Responder.conf для атаки только на определённые цели.

Дополнительно поставляется скрипт DHCP_Auto.sh, который должен автоматизировать запуск и автоматически выбирать опции.

Справка по responder-icmp-redirect

Эта утилита в сочетании с Responder полезна, когда вы сидите в сети на базе Windows.

Большинство дистрибутивов Linux по умолчанию отбрасывают перенаправления ICMP.

Обратите внимание, что если целью является Windows, отравление будет длиться только в течение 10 минут, вы можете повторно отравить цель, запустив эту утилиту снова

Если вы хотите отвечать на трафик, например, на DNS запросы, которые исходят от вашей цели, запустите как root команду вида:

Справка по responder-dumphash

Выводит список всех захваченных хешей. У программы нет опций, но для доступа к файлу дампа DumpNTLMv2.txt нужно запускать с правами root:

Справка по responder-report

Генерирует отчёт на основе записанных журналов активности responder.

Программа запускается без опций:

Справка по FindSMB2UPTime

Справка по FindSQLSrv

Справка по responder-BrowserListener

Руководство по Responder

Страница man отсутствует.

Все хеши печатаются в стандартный вывод и сбрасываются в уникальный файл совместимый с John Jumbo в следующем формате:

Файлы журналов располагаются в папке «logs/». Хеши будут сохранены и напечатаны только один раз на одного пользователя на один тип хеша. Будет выведен каждый хеш, если вы используете Вербальный режим, то есть если вы указали опцию -v.

Вся активность будет записана в файл Responder-Session.log

Режим анализа запишет свой журнал в Analyze-Session.log

Травление будет записано в файл Poisoners-Session.log

Дополнительно все захваченные хеши сохраняются в базе данных SQLite, которую вы можете настроить в Responder.conf

Особенности запуска

Этот инструмент прослушивает несколько портов: UDP 137, UDP 138, UDP 53, UDP/TCP 389,TCP 1433, UDP 1434, TCP 80, TCP 139, TCP 445, TCP 21, TCP 3141,TCP 25, TCP 110, TCP 587, TCP 3128 и Multicast UDP 5553.

Если на вашей системе запущена Samba, остановите smbd и nmbd и все другие службы, прослушивающие указанные порты.

Для пользователей Ubuntu

Откройте для редактирования файл /etc/NetworkManager/NetworkManager.conf и закомментируйте строку:

Затем остановите dnsmasq командой:

Общие замечания

Любой жульнический сервер можно отключить в Responder.conf.

Этот инструмент не предназначен для работы на Windows.

Замечания для пользователей OSX

Responder должен быть запущен с указанным IP адресом при флаге -i (например -i ВАШ_IP_АДРЕС). В OSX нет поддержки для привязки к указанному интерфейсу. Использование -i en1 не работает. Также для лучших результатов с Responder, запустите следующее как root:

Примеры запуска Responder

Запустить в Режиме анализа (-A) с подробным выводом (-v) на указанном сетевом интерфейсе (-I):

Запустить атаку на указанном сетевом интерфейсе (-I), включить ответы для запросов суффиксов netbios wredir (-r), включить принудительную NTLM (прозрачная)/Basic (через окно входа) аутентификацию для прокси (-P), включить сбор отпечатков (информации) о хостах, отправляющих запросы NBT-NS или LLMNR (-f), а также включить подробный вывод (-v):

Вывести отчёт, содержащий имена компьютеров и имена пользователей:

Вывести перехваченные хеши:

Установка Responder

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Информация об установке в другие операционные системы будет добавлена позже.

Источник

Responder kali linux ��� ������������

Responder an LLMNR, NBT-NS and MDNS poisoner. It will answer to specific NBT-NS (NetBIOS Name Service) queries based on their name suffix (see: http://support.microsoft.com/kb/163409). By default, the tool will only answer to File Server Service request, which is for SMB.

The concept behind this is to target our answers, and be stealthier on the network. This also helps to ensure that we don’t break legitimate NBT-NS behavior. You can set the -r option via command line if you want to answer to the Workstation Service request name suffix.

Supports NTLMv1, NTLMv2 hashes with Extended Security NTLMSSP by default. Successfully tested from Windows 95 to Server 2012 RC, Samba and Mac OSX Lion. Clear text password is supported for NT4, and LM hashing downgrade when the —lm option is set. This functionality is enabled by default when the tool is launched.

• Built-in MSSQL Auth server.

In order to redirect SQL Authentication to this tool, you will need to set the option -r (NBT-NS queries for SQL Server lookup are using the Workstation Service name suffix) for systems older than windows Vista (LLMNR will be used for Vista and higher). This server supports NTLMv1, LMv2 hashes. This functionality was successfully tested on Windows SQL Server 2005 & 2008.

• Built-in HTTP Auth server.

In order to redirect HTTP Authentication to this tool, you will need to set the option -r for Windows version older than Vista (NBT-NS queries for HTTP server lookup are sent using the Workstation Service name suffix). For Vista and higher, LLMNR will be used. This server supports NTLMv1, NTLMv2 hashes and Basic Authentication. This server was successfully tested on IE 6 to IE 10, Firefox, Chrome, Safari.

Note: This module also works for WebDav NTLM authentication issued from Windows WebDav clients (WebClient). You can now send your custom files to a victim.

• Built-in HTTPS Auth server.

Same as above. The folder certs/ contains 2 default keys, including a dummy private key. This is intentional, the purpose is to have Responder working out of the box. A script was added in case you need to generate your own self signed key pair.

• Built-in LDAP Auth server.

In order to redirect LDAP Authentication to this tool, you will need to set the option -r for Windows version older than Vista (NBT-NS queries for HTTP server lookup are sent using the Workstation Service name suffix). For Vista and higher, LLMNR will be used. This server supports NTLMSSP hashes and Simple Authentication (clear text authentication). This server was successfully tested on Windows Support tool «ldp» and LdapAdmin.

• Built-in FTP, POP3, IMAP, SMTP Auth servers.

This modules will collect clear text credentials.

This server will answer type A queries. This is really handy when it’s combined with ARP spoofing.

• Built-in WPAD Proxy Server.

This module will capture all HTTP requests from anyone launching Internet Explorer on the network if they have «Auto-detect settings» enabled. This module is highly effective. You can configure your custom PAC script in Responder.conf and inject HTML into the server’s responses. See Responder.conf.

This module allows to find the PDC in stealth mode.

When the option -f is used, Responder will fingerprint every host who issued an LLMNR/NBT-NS query. All capture modules still work while in fingerprint mode.

For MITM on Windows XP/2003 and earlier Domain members. This attack combined with the DNS module is pretty effective.

DHCP Inform Spoofing. Allows you to let the real DHCP Server issue IP addresses, and then send a DHCP Inform answer to set your IP address as a primary DNS server, and your own WPAD URL.

This module allows you to see NBT-NS, BROWSER, LLMNR, DNS requests on the network without poisoning any responses. Also, you can map domains, MSSQL servers, workstations passively, see if ICMP Redirects attacks are plausible on your subnet.

All hashes are printed to stdout and dumped in an unique file John Jumbo compliant, using this format:

Log files are located in the «logs/» folder. Hashes will be logged and printed only once per user per hash type, unless you are using the Verbose mode (-v).

• Responder will logs all its activity to Responder-Session.log
• Analyze mode will be logged to Analyze-Session.log
• Poisoning will be logged to Poisoners-Session.log

Additionally, all captured hashed are logged into an SQLite database which you can configure in Responder.conf

This tool listens on several ports: UDP 137, UDP 138, UDP 53, UDP/TCP 389,TCP 1433, TCP 80, TCP 139, TCP 445, TCP 21, TCP 3141,TCP 25, TCP 110, TCP 587 and Multicast UDP 5553.

If you run Samba on your system, stop smbd and nmbd and all other services listening on these ports.

Источник