Sobre la herramienta:
Responder es un poisoner IPv4/IPv6/LLMNR/NBT-NS/MDNS y NTLMv1/2 relay. Responderá a consultas específicas de NBT-NS (Servicio de Nombres NetBIOS) basadas en su sufijo de nombre. Por defecto, la herramienta sólo responderá a la solicitud del Servicio de Servidores de Archivos, que es para SMB.
El concepto detrás de esto es dirigir nuestras respuestas, y ser más sigilosos en la red. Esto también ayuda a asegurar que no rompemos el comportamiento legítimo de NBT-NS. Puede establecer la opción -r a través de la línea de comandos si desea responder al sufijo del nombre de la solicitud del Servicio de estación de trabajo.
Uso:
--version show program's version number and exit
-h, --help show this help message and exit
-A, --analyze Analyze mode. This option allows you to see NBT-NS,
BROWSER, LLMNR requests without responding.
-I eth0, --interface=eth0
Network interface to use, you can use 'ALL' as a
wildcard for all interfaces
-i 10.0.0.21, --ip=10.0.0.21
Local IP to use (only for OSX)
-6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, --externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed
Poison all requests with another IPv6 address than
Responder's one.
-e 10.0.0.22, --externalip=10.0.0.22
Poison all requests with another IP address than
Responder's one.
-b, --basic Return a Basic HTTP authentication. Default: NTLM
-d, --DHCP Enable answers for DHCP broadcast requests. This
option will inject a WPAD server in the DHCP response.
Default: False
-D, --DHCP-DNS This option will inject a DNS server in the DHCP
response, otherwise a WPAD server will be added.
Default: False
-w, --wpad Start the WPAD rogue proxy server. Default value is
False
-u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY
Upstream HTTP proxy used by the rogue WPAD Proxy for
outgoing requests (format: host:port)
-F, --ForceWpadAuth Force NTLM/Basic authentication on wpad.dat file
retrieval. This may cause a login prompt. Default:
False
-P, --ProxyAuth Force NTLM (transparently)/Basic (prompt)
authentication for the proxy. WPAD doesn't need to be
ON. Default: False
--lm Force LM hashing downgrade for Windows XP/2003 and
earlier. Default: False
--disable-ess Force ESS downgrade. Default: False
-v, --verbose Increase verbosity.
Ejemplo de uso:
En primer lugar, ejecutaremos la herramienta con la opción -I seguido de nuestra interfaz de red, y a continuación las opciones -d (DHCP), habilitar respuestas para las solicitudes de difusión de DHCP, -w para iniciar el servidor proxy falso WPAD y -v para que nos devuelva los valores por terminal.
❯ responder - I <interfaz> -dwv
Deberemos conseguir que un usuario de la red acceda a un servicio que requiera autenticación (A través del explorador de archivos o desde el navegador).
En este caso haré la prueba introduciendo la IP del equipo atacante Kali desde el Explorador de archivos de uno de los equipos Windows 10 del dominio.
Nos aparecerá una ventana de acceso denegado.
A continuación, podremos comprobar desde nuestra terminal que nos ha devuelto información como Dirección IP del cliente, Usuario de dominio y lo más importante, el Hash NTLMv2.
Posteriormente podremos crackear dicha contraseña con herramientas como John The Ripper o Hashcat.
(Lo mostraré en el siguiente artículo que podrán encontrarlo en la sección Artículos > Atacando Active Directory: Vectores de ataque iniciales)
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.