Bebzounette
Rechercher…
⌃K

Responder

éDans un environnement Active Directory, les protocoles de résolution de noms de multi-diffusion sont activés par défaut.
Il en existe plusieurs tels que :
  • LLMNR (Local-Link Multicast Name Resolution)
  • NBT-NS (NetBIOS Name Service)
  • mDNS (multicast Domain Name System).
Lorsqu'un protocole de résolution échoue, une machine Windows va se rabattre sur ces protocoles de multidiffusion. Les systèmes Windows tentent de résoudre les noms dans l'ordre suivant : DNS, LLMNR et NBT-NS.
Il est possible pour un attaquant d'utiliser certains outils comme Responder qui va mettre en place un serveur SAMBA en attente de requêtes. Dès lors qu'un des protocoles de multi-diffusion sera utilisé alors un attaquant pourra répondre à ces requêtes de multidiffusion ou de diffusion.
Les victimes sont alors redirigées vers l'attaquant qui leur demande de s'authentifier afin d'accéder à ce qu'elles demandent. Grâce à des outils comme Responder, leur authentification est alors capturée et renvoyé sous la forme de hash NetNTLMv1/v2 qui peuvent ensuite être relayés.
UNIX
Windows
Vous pouvez donc effectuer une attaque de type Man in The Middle avec l'outil Responder en utilisant le protocole LLMNR et NBT-NS s'ils sont mal configurés.
sudo responder -I eth0 -wF
Il existe une version de Responder-Windows pour Windows :
Responder.exe -i eth0

Références

Dernière mise à jour 2mo ago