Bebzounette
Rechercher

Responder
Dans un environnement Active Directory, les protocoles de résolution de noms de multi-diffusion sont activés par défaut.
Il en existe plusieurs tels que :
  • LLMNR (Local-Link Multicast Name Resolution)
  • NBT-NS (NetBIOS Name Service)
  • mDNS (multicast Domain Name System).
Lorsqu'un protocole de résolution échoue, une machine Windows va se rabattre sur ces protocoles de multidiffusion. Les systÚmes Windows tentent de résoudre les noms dans l'ordre suivant : DNS, LLMNR et NBT-NS.
Il est possible pour un attaquant d'utiliser certains outils comme Responder qui va mettre en place un serveur SAMBA en attente de requĂȘtes. DĂšs lors qu'un des protocoles de multi-diffusion sera utilisĂ© alors un attaquant pourra rĂ©pondre Ă  ces requĂȘtes de multidiffusion ou de diffusion.
Les victimes sont alors redirigĂ©es vers l'attaquant qui leur demande de s'authentifier afin d'accĂ©der Ă  ce qu'elles demandent. GrĂące Ă  des outils comme Responder, leur authentification est alors capturĂ©e et renvoyĂ© sous la forme de hash NetNTLMv1/v2 qui peuvent ensuite ĂȘtre relayĂ©s.
UNIX
Windows
Vous pouvez donc effectuer une attaque de type Man in The Middle avec l'outil Responder en utilisant le protocole LLMNR et NBT-NS s'ils sont mal configurés.
sudo responder -I eth0 -wF
Il existe une version de Responder-Windows pour Windows :
Responder.exe -i eth0

RĂ©ferences

Introduction
The Hacker Recipes
GitHub - lgandx/Responder-Windows: Responder Windows Version Beta
GitHub
DerniĂšre mise Ă  jour 1mo ago
Copier le lien