内网中不局限于arp嗅探的一些手法 > 手法较老，不是新东西，而且本文章准备以“白话文”的手段写出来，所以原理上有哪些不对的请**必须指出来**。 # 环境 win7 172.16.127.184 普通域用户 win10 172.16.127.170 域管 dcserver 172.16.127.173 域控 kali 172.16.127.129 攻击机 # 工具 [Responder](https://github.com/lgandx/Responder) [impacket](https://github.com/SecureAuthCorp/impacket) ## LLMNR 先来一段百科介绍 > 链路本地多播名称解析（LLMNR）是一个基于协议的域名系统（DNS）数据包的格式，使得双方的IPv4和IPv6的主机来执行名称解析为同一本地链路上的主机。它是包含在Windows Vista中，Windows Server 2008中，Windows 7中，Windows 8中和的Windows 10。它也被实施systemd在Linux上-resolved。 LLMNR定义在RFC 4795。 > 在DNS 服务器不可用时，DNS 客户端计算机可以使用本地链路多播名称解析 (LLMNR—Link-Local Multicast Name Resolution)（也称为多播 DNS 或 mDNS）来解析本地网段上的名称。例如，如果路由器出现故障，从网络上的所有 DNS 服务器切断了子网，则支持 LLMNR 的子网上的客户端可以继续在对等基础上解析名称，直到网络连接还原为止。 除了在网络出现故障的情况下提供名称解析以外，LLMNR 在建立临时对等网络（例如，机场候机区域）方面也非常有用。 翻译成白话文怎么说 > 你正常内网中如访问真实存在的机器，如jumbo01,当有一天你不小心输成了不存在的机器jumbo02，客户端就会问内网中谁是jumbo02啊，有没有是jumbo02的人啊 ### 攻击手法v1.0 首先我们如果访问一台不存在的机器jumbo02，是以下这个结果  那我们如果我们在客户端询问谁是jumbo02的时候应答他的话，就是这个结果 攻击机执行 ``` responder -I eth0 ``` 客户端访问jumbo02提示需要输入密码  输入密码后，攻击机收到net-ntlm：  收到net-ntlm以后我们就可以尝试利用hashcat进行破解等攻击。 ## WPAD 先来一段百科介绍 > 网络代理自动发现协议（Web Proxy Auto-Discovery Protocol，WPAD）是一种客户端使用DHCP和/或DNS发现方法来定位一个配置文件URL的方法。在检测和下载配置文件后，它可以执行配置文件以测定特定URL应使用的代理。 翻译成白话文怎么说 > 就是你的上网配置、怎么上网，如果你浏览器设置了上网自动检测设置（默认配置），客户端上网的时候，就会问，谁是wpad服务器啊，你是wpad服务器啊，然后拿着pac文件上网去了，再讲一个贴近“大众”的，你的小飞机shadowsocks就是这样一个原理，为什么有pac模式和全局模式，pac模式就是一个配置文件，里面告诉你什么时候、上什么网站该翻墙了。 ### 攻击手法v1.0 首先我们本身想访问存在的网站 www.chinabaiker.com ,可是不小心打错了一个字母或者多打少打了一个字母，默认会直接跳到搜到引擎上去，或者提示无法访问，比如 www.chinabaikee.com  那如果我们伪造wpad服务器的话，首先攻击机执行 ``` responder -I eth0 -wFb ```  这里使用-b参数强制使用401认证 客户端访问一个不存在的域名时会跳出登录框  输入账号密码以后，攻击者收到明文账号密码  从responder的信息反馈能得知，实际上是利用wpad欺骗返回了一个401认证，导致欺骗攻击者获取了其账号密码。   ### 攻击手法v1.1 刚刚说了，wpad一个最贴近大众的就是我们的小飞机，比如上google就走小飞机的代理，那既然我们能够让客户端下载我们的pac，就能在pac里面让客户端的流量走我们这边，这里我利用msf配置burp演示代理抓取客户端流量。 攻击机执行 ``` use auxiliary/spoof/nbns/nbns_response set regex WPAD set spoofip attackip run use auxiliary/server/wpad set proxy 172.16.127.155 run ``` 打开burp 以下只在非域内但是同一个网络中的机器的firefox成功  为什么会出现上面的问题呢，实际上是因为[MS16-077补丁问题](https://blog.fox-it.com/2018/01/11/mitm6-compromising-ipv4-networks-via-ipv6/)。 > In 2016 however, Microsoft published a security bulletin MS16-077, which mitigated this attack by adding two important protections: – The location of the WPAD file is no longer requested via broadcast protocols, but only via DNS. – Authentication does not occur automatically anymore even if this is requested by the server. 利用mitm6让客户端设置攻击者为ipv6 dns服务器  wpad成功在chrome上欺骗  PS：以上成功还是在非域内机器。 ### 攻击手法v2.0 **上面说了多，最重要的不过还是权限。** 大家应该知道smb relay，但是这个漏洞很早就在MS08-068补丁中被修复了。 但是这个不妨碍我们在未校验smb签名等情况下进行NTLM-Relay转发。 攻击者执行responder，首先关闭掉smb，给接下来的ntlmrelayx使用。  ``` responder -I eth0 ``` ``` ntlmrelayx.py -t 172.16.127.173 -l ./ ``` 域管机器访问不存在的机器时，会中继到域控机器，攻击者成功获取shell