"内网渗透之Responder攻防(上)" Responder 是一种欺骗工具,广泛应用于内网渗透攻击中。它可以欺骗受害机器,使其发送 NTLM V2 Hash,从而获取受害机器的认证信息。本文将详细介绍 Responder 的原理和使用方式。 知识点一:Responder 的原理 Responder 是基于 LLMNR、NBNS、MDNS 三种协议的欺骗工具。LLMNR(链路本地多播名称解析)是一种基于域名系统(DNS)数据包格式的协议,用于对同一本地链路上的主机执行名称解析。NBNS(名称服务器)协议是 TCP/IP 上的 NetBIOS 协议族的一部分,提供主机名和地址映射方法。MDNS(多播DNS)协议将主机名解析为不包含本地名称服务器的小型网络中的 IP 地址。 知识点二:Responder 的欺骗原理 Responder 通过欺骗受害机器,使其发送 NTLM V2 Hash。欺骗过程如下: 1. 受害机器 ping 不存在的主机名时,会按照下列流程尝试解析: * 查看本地 hosts 文件 * 查找 DNS 缓存 * DNS 服务器 * 尝试 LLMNR、NBNS 和 MDNS 协议进行解析 2. 在 DNS 解析失败后,Responder 会模拟 LLMNR、NBNS 和 MDNS 协议,欺骗受害机器,使其发送 NTLM V2 Hash。 知识点三:NTLM 认证 NTLM 认证是一种常用的认证协议,早期 SMB 协议在网络上传输明文口令,后来微软进行了改进推出了 NTLMv1 会话协议。由于 NTLMv1 也很脆弱,所以后来就有了 NTLM v2 以及 Kerberos 验证体系。目前 winserver 2008 及以后的 windows 版本默认均是使用 NetNTLMv2 的,默认使用 NTLMv1 的有 2003、XP 这些机器。 知识点四:Responder 的应用 Responder 广泛应用于内网渗透攻击中,攻击方可以使用 Responder 欺骗受害机器,使其发送 NTLM V2 Hash,从而获取受害机器的认证信息。APT 组织也曾经使用过 Responder 进行攻击。 知识点五:防御措施 为了防御 Responder 欺骗攻击,防守方可以采取以下措施: * 禁用 LLMNR、NBNS 和 MDNS 协议 * 使用防火墙阻止欺骗流量 * 使用入侵检测系统检测欺骗行为 * 采用加密认证协议,例如 Kerberos Responder 是一种强大的欺骗工具,广泛应用于内网渗透攻击中。为了防御欺骗攻击,防守方需要采取相应的防御措施。
剩余14页未读,继续阅读
- 粉丝: 38
- 资源: 322
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
评论0