Responder工具

Responder下载地址： https://github.com/lgandx/Responder
Responder工具可以污染LLMNR和NBT-NS请求。

首先假设连接到Windows活动目录环境（Windows Active directory），当网络上的设备尝试用LLMNR和NBT-NS请求来解析目的地机器时，Responder就会伪装成目的地机器。当受害者机器尝试登陆攻击者机器，responder就可以获取受害者机器用户的NTLMv2哈希值。

在demo攻击中，讨论了2种攻击。

• 获取NTLMv2哈希值，并使用Hashcat密码破解工具。
• 使用Responder和Multirelay.py脚本，脚本负责执行NTMLMv2哈希值中继到SMB签名未启用的机器上。如果中继成功，就可以访问目标机器。

获取NTLMv2哈希

运行Responder，用参数-l指定机器的以太网接口，示例中是eth0
命令为：
python Responder.py -I

比如
python Responder.py -I eth0

Responder监听模式：

如果网络上的用户需要访问没有IP或用户类型分析名的share，机器会触发到网络的LLMNR请求，responder会回答说它是该机器，访问该资源需要提供NTLMv2 hash。

这里，用户 box1（IP192.168.56.101）尝试访问名为pwned68的共享分区。当机器触发LLMNR请求时，Responder会响应该请求并从域名DC2获取用户box1的NTLMv2哈希值。

现在需要破解哈希值来获取明文密码。Hashcat是执行哈希破解最快的工具，支持CPU/GPU哈希破解和多种哈希格式。Hashcat官方下载地址为：https://hashcat.net/hashcat/ 。
密码词典下载地址：https://hashkiller.co.uk/downloads.aspx 。

在获取了明文密码后，就可以用该域名哎登陆Windows域名上的其他机器来尝试是否可以访问其他机器上的敏感信息。

获取shell访问权限

Responder是少有的可以通过中继NTLMv2哈希来获取网络中机器的shell访问权限。获取哈希值可以帮助攻击者获取shell访问权限。正常的Domain用户哈希并不能帮助获取shell访问权限。但admin用户尝试访问也有的share，multirelay.py脚本会用获取的NTLMv2哈希值来登陆Windows域网络一部分的机器中。

为了设置这些，需要修改Responder.conf文件。打开Responder.conf文件，将SMB和HTTP的值改为off。这样responder就不会获取哈希值，而是Multirelay.py来完成这一任务。

然后，运行RunFinger.py脚本来识别将SMB signing设置为False的网络中的HOST机器，因为只能对SMB signing设置为True的机器发起攻击。脚本在responder的tools目录中可以查看。RunFinger.py脚本会预测IP的范围来检查现有的HOSTS的SMB signing是否启用。运行RunFinger.py脚本的命令为：

示例：

脚本输出结果：

这里只有3个机器。其中一个是域名控制器机器，另一个是Windows域中的Windows 7主机。IP为192.168.56.101的机器SMB Signing未启用。因此可以对该机器进行NTMLv2哈希中继攻击。在发现了这些机器后，可以设置responder和multirelay.py脚本来访问SMB Signing未启用的机器。运行下面的命令可以开启Responder和Multirelay.py：

在第一个终端上，开启responder：

在第二个终端上，运行Multirelay.py脚本：

两个脚本的动作如下：

域中的admin用户会尝试访问不存在的share，responder会污染响应消息。Multirelay.py会通过获取NTLMv2哈希值来完成其他动作，并与目标机器相关联。成功中继后就可以获取目标机器上的shell访问权限。

在获取shell权限后，就可以执行加载Mimikatz这样的动作了。

https://github.com/incredibleindishell/Windows-AD-environment-related/tree/master/Responder