一、LLMNR協議說明:
windows會先去檢查自己的主機配置文件host文件,在C:\Windows\System32\drivers\etc下,然后按照此文件配置好的指向進行解析當上面的步驟無法正確解析時,此時系統會自動去檢查本地的dns緩存,按照緩存中的指向再進行解析,
如果連本地緩存也不能正確解析,它會繼續向本地網絡中的dns服務器去請求最后,如果本地網絡中的dns也解析失敗,它就會被交給LLMNR[鏈路本地多播名稱解析]和netbios-ns去處理解析。
場景說明:當前局域網下有三台機器,客戶端向某一台計算機請求資源得時候,由於本地dns解析失敗得原因,該請求會被被交給LLMNR然后執行netbios查詢,但是出現了一個攻擊者可以獲取網絡中所有得查詢請求,
當攻擊者獲取到了該請求后,他會告訴客戶端他是資源計算機,接着客戶端就會把自己得賬號密碼提供給攻擊者進行認證。
四、WPDA說明:
它來查找網絡中的wpad.dat文件的,有了該文件以后,客戶端以后就會根據文件中的內容自動配置代理,但如何查找到這個文件的位置呢,一種方式可以通過dns查詢,另一種方式是通過dhcp服務進行檢索,還有就是利用LLMNR查詢,我們確實是可以利用dns或者dhcp毒化,來操控流量指向,但這種方式很容易被攔截,而LLMNR則不一樣,它是通過廣播告訴同一內網下的所有windows,它就是wpad服務器,這樣當你的瀏覽器設置為’自動檢測代理設置’的情況下,它就會下載攻擊者事先准備好的wpad.dat文件,這樣一來,客戶端的流量就會經過攻擊者的機器。
(受害者設置了自動檢測設置)
使用工具Responder:https://github.com/SpiderLabs/Responder (Kali自帶)
Responder進行(自動下載馬)釣魚攻擊:
修改Responder.conf文件
需要開啟前兩個參數,並把馬mv到files目錄下,ExeDownloadName是下載后得顯示得名稱實戰情況下根據情況改名字。
執行:responder -I eth0 -wrf
當目標訪問任何網頁得時候都會自動下載我們准備好的馬,需要做免殺,實戰情況下這種動靜有點大。
PS:還可以獲取ntml v2 hash,ntml v2 hash並不能拿來做hash傳遞,可以通過中繼得方式進行利用。
參考資料:
https://www.anquanke.com/post/id/177123
https://klionsec.github.io/2016/07/23/llmnr-wpad/
http://blog.orleven.com/2017/04/09/spoof-llmnr-wpad/