Responder终极指南:5步掌握LLMNR/NBT-NS投毒攻击与凭据捕获技术

发布时间:2026/7/4 8:04:10
Responder终极指南:5步掌握LLMNR/NBT-NS投毒攻击与凭据捕获技术 Responder终极指南5步掌握LLMNR/NBT-NS投毒攻击与凭据捕获技术【免费下载链接】ResponderResponder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.项目地址: https://gitcode.com/gh_mirrors/res/ResponderResponder是一款功能强大的LLMNR、NBT-NS和mDNS投毒工具内置HTTP/SMB/MSSQL/FTP/LDAP等多种认证服务器专门用于捕获Windows域环境中的NTLMv1/NTLMv2/LMv2哈希和明文凭据。这个开源安全工具在渗透测试和红队评估中发挥着重要作用能够有效识别网络认证协议中的安全漏洞。 Responder核心功能架构解析多协议投毒引擎Responder通过LLMNR链路本地多播名称解析、NBT-NSNetBIOS名称服务和mDNS多播DNS投毒技术在网络中伪装成合法的服务器响应客户端的名称解析请求。当客户端在域环境中寻找文件服务器、域控制器或其他网络资源时Responder会抢先响应这些查询将流量重定向到自己的认证服务器。Responder多协议投毒架构示意图内置认证服务器矩阵HTTP/HTTPS服务器支持NTLMv1、NTLMv2哈希和基本认证兼容IE 6到IE 10、Firefox、Chrome、Safari等主流浏览器。通过WPAD代理服务器功能可以捕获所有启用自动检测设置的IE浏览器的HTTP请求。SMB认证服务器支持NTLMv1、NTLMv2哈希和扩展安全NTLMSSP从Windows 95到Server 2012 RC、Samba和Mac OSX Lion都经过成功测试。这是Responder最核心的功能之一能够捕获Windows文件共享认证凭据。LDAP认证服务器支持NTLMSSP哈希和简单认证明文认证已成功通过Windows支持工具ldp和LdapAdmin测试。这是捕获域认证凭据的关键模块。MSSQL认证服务器支持NTLMv1、LMv2哈希在Windows SQL Server 2005和2008上成功测试。通过重定向SQL认证流量来捕获数据库凭据。FTP/POP3/IMAP/SMTP服务器这些模块专门用于收集明文凭据覆盖了常见的邮件和文件传输协议。辅助工具套件DNS服务器响应A类型查询与ARP欺骗结合使用时效果显著可以重定向DNS解析请求。浏览器监听器以隐蔽模式查找域环境中的PDC主域控制器帮助渗透测试人员识别关键基础设施。指纹识别功能启用-f选项时Responder会对每个发出LLMNR/NBT-NS查询的主机进行指纹识别同时保持所有捕获模块正常工作。 快速上手5步配置与运行指南第1步环境准备与依赖检查在开始使用Responder之前需要确保系统环境准备就绪# 克隆项目仓库 git clone https://gitcode.com/gh_mirrors/res/Responder cd Responder # 停止可能冲突的服务 sudo systemctl stop smbd nmbd sudo killall dnsmasq -9对于Ubuntu用户需要编辑/etc/NetworkManager/NetworkManager.conf文件注释掉dnsdnsmasq行然后重启网络管理器服务。第2步配置文件定制化Responder的核心配置集中在Responder.conf文件中您可以根据实际需求调整各项参数[Responder Core] SQL On SMB On Kerberos On FTP On POP On SMTP On IMAP On HTTP On HTTPS On DNS On LDAP On配置文件还允许您设置自定义挑战值、数据库文件路径、WPAD代理脚本等高级选项。建议在正式使用前仔细阅读并理解每个配置项的含义。第3步基础攻击模式启动最简单的启动方式使用默认配置./Responder.py -I eth0这个命令会在eth0接口上启动Responder监听多个端口UDP 137、UDP 138、UDP 53、UDP/TCP 389、TCP 1433、TCP 80、TCP 139、TCP 445、TCP 21、TCP 3141、TCP 25、TCP 110、TCP 587和Multicast UDP 5553。第4步高级功能启用为了最大化攻击效果推荐使用以下组合参数./Responder.py -I eth0 -wrf参数详解-w启动WPAD代理服务器捕获浏览器自动配置请求-r启用对工作站服务名称后缀的响应扩大攻击面-f启用指纹识别功能识别目标系统信息第5步结果分析与凭据提取Responder将所有捕获的哈希输出到stdout并以John Jumbo兼容格式存储在logs/目录中文件名格式为(MODULE_NAME)-(HASH_TYPE)-(CLIENT_IP).txt主要日志文件包括Responder-Session.log记录所有活动Analyze-Session.log分析模式日志Poisoners-Session.log投毒活动日志️ 高级攻击技术与模块详解LLMNR投毒攻击LLMNR链路本地多播名称解析是Windows Vista及更高版本中引入的协议用于在没有DNS服务器的情况下解析本地网络名称。Responder的poisoners/LLMNR.py模块专门针对这一协议进行投毒攻击。攻击原理当客户端尝试访问不存在的网络资源时会通过LLMNR协议广播查询Responder抢先响应这些查询将流量重定向到自己的服务器。NBT-NS投毒攻击NBT-NSNetBIOS over TCP/IP名称服务是较老Windows系统中使用的名称解析协议。poisoners/NBTNS.py模块针对这一协议进行投毒特别关注文件服务器服务请求。配置技巧默认情况下Responder只响应文件服务器服务请求以保持隐蔽性并避免破坏合法的NBT-NS行为。使用-r选项可以扩展响应范围。LDAP服务器深度分析LDAP模块是Responder中最强大的凭据捕获工具之一。位于servers/LDAP.py的这个服务器能够捕获域环境中的NTLMSSP哈希和明文认证。工作流程客户端发送LDAP绑定请求Responder LDAP服务器响应认证挑战客户端返回包含凭据的响应服务器解析并记录认证信息到日志文件兼容性与Windows支持工具ldp和LdapAdmin完全兼容确保在各种LDAP客户端场景下都能有效工作。 工具套件与扩展功能ICMP重定向攻击tools/Icmp-Redirect.py工具专门针对Windows XP/2003及更早的域成员进行中间人攻击。当与DNS模块结合使用时这种攻击效果显著。DHCP欺骗攻击tools/DHCP.py实现DHCP Inform欺骗攻击。这种技术允许真实的DHCP服务器分配IP地址然后发送DHCP Inform响应将自己的IP地址设置为主DNS服务器并推送自定义的WPAD URL。分析模式Responder的分析模式允许您在不进行任何投毒的情况下观察网络中的NBT-NS、BROWSER、LLMNR、DNS请求。这个功能对于网络侦察和攻击可行性评估非常有用。启动分析模式./Responder.py -I eth0 -A 实战场景与防御策略典型攻击场景内部网络渗透测试在获得内部网络访问权限后使用Responder捕获域用户的哈希凭据用于横向移动和权限提升。无线网络安全评估在企业无线网络环境中通过Responder捕获连接用户的认证凭据。红队演练模拟高级持续性威胁APT攻击者的行为测试组织的检测和响应能力。安全防护建议禁用易受攻击的协议在组策略中禁用LLMNR和NBT-NS使用命令netsh interface ipv4 set interface 接口名 dadtransmits0 storepersistent网络分段与访问控制实施严格的网络分段策略使用IPSec策略限制不必要的网络通信配置防火墙规则阻止可疑端口通信监控与检测部署网络监控工具检测LLMNR/NBT-NS投毒活动配置SIEM系统警报异常的名称解析模式定期审查网络日志中的可疑活动用户教育与策略培训用户识别可疑的网络行为实施最小权限原则定期进行安全意识培训 最佳实践与注意事项合法使用与授权Responder只能在获得明确授权的安全测试环境中使用。未经授权在网络中使用此类工具可能违反法律和道德准则。性能优化建议根据网络环境调整Responder的响应延迟设置在高流量网络中考虑使用分析模式先进行侦察定期检查日志文件大小避免磁盘空间问题故障排除技巧端口冲突问题如果系统上运行了Samba或其他服务需要先停止这些服务因为它们可能监听与Responder相同的端口。操作系统兼容性Responder不支持在Windows上运行。对于macOS用户需要使用IP地址而不是接口名称启动Responder。网络配置问题确保网络接口配置正确防火墙规则允许必要的端口通信。 总结与展望Responder作为一款成熟的网络投毒和凭据捕获工具在渗透测试和红队评估中具有不可替代的价值。通过理解其工作原理、掌握配置技巧、遵循最佳实践安全专业人员可以更有效地识别和修复网络认证协议中的安全漏洞。随着网络安全威胁的不断演变Responder也在持续更新和改进。建议定期关注项目更新学习新的攻击技术和防御策略保持安全技能的前沿性。记住强大的工具需要负责任地使用。始终确保您的测试活动在合法授权的范围内进行为构建更安全的网络环境贡献力量。【免费下载链接】ResponderResponder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.项目地址: https://gitcode.com/gh_mirrors/res/Responder创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考