> For the complete documentation index, see [llms.txt](https://securitylayer.gitbook.io/securitylayer/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/responder.md). # Responder ### ***Responder*** 🕵️‍♂️ *Responder es una herramienta de pentesting especializada en ataques de LLMNR, NBT-NS y MDNS Poisoning para capturar credenciales en redes Windows.* *Funciones clave de Responder:*\ *✔ Envenenamiento de LLMNR/NBT-NS para capturar NetNTLMv2 hashes.*\ *✔ Creación de servidores SMB, HTTP y FTP falsos para interceptar autenticaciones.*\ *✔ NTLM Relay Attack para autenticarse en servicios internos con credenciales capturadas.* #### *Explicación paso a paso del proceso de autenticación NetNTLMv2 con Responder* *Cuando una máquina Windows intenta acceder a un recurso compartido SMB, usa NetNTLMv2 como mecanismo de autenticación en entornos donde Kerberos no está disponible. Responder se aprovecha de esto para capturar el hash NetNTLMv2 del usuario víctima.* *1) Inicio de la conexión SMB* * *El cliente (víctima) intenta conectarse a un recurso SMB, por ejemplo:* ```sh \\10.10.14.25\share ``` * *Esto puede suceder de forma automática debido a:* * *Una vulnerabilidad de LFI/RFI forzando la carga de un recurso remoto (`\\ATTACKER-IP\malicious-file`).* * *Un atacante que ha envenenado respuestas LLMNR/NBT-NS con `Responder`.* * *Un acceso manual de un usuario a un recurso SMB malicioso.* *2) Responder actúa como un servidor SMB falso* * *Como `Responder` está en escucha, se presenta como un servidor SMB válido y responde a la solicitud del cliente.* *3) Servidor SMB falso envía un desafío (challenge)* * *Windows usa el esquema de autenticación NetNTLMv2, que es un mecanismo challenge-response.* * *Responder genera y envía un "challenge" (un valor aleatorio de 16 bytes) al cliente.* *4) El cliente cifra el challenge con su hash NTLM* * *El cliente cifra el challenge usando el hash NTLM de su contraseña.* * *Luego, envía la respuesta cifrada (challenge-response) de vuelta al servidor SMB falso (`Responder`).* *5) Responder captura el NetNTLMv2* * *La respuesta contiene el hash NetNTLMv2, que se ve así en `Responder`:* ``` Administrator::DESKTOP-XXXXXXX:1122334455667788:7E0A87A2CCB487AD9B76C7B0AEAEE133:0101000000000000005F32... ``` * *Este NetNTLMv2 "hash" no es reversible, pero se puede crackear con `john` o `hashcat` para recuperar la contraseña en texto claro.* *** #### *Resumen* * *¿Quién envía el challenge? → El servidor SMB falso (Responder) envía el challenge al cliente.* * *¿Quién envía el challenge-response? → El cliente (víctima) cifra el challenge y lo devuelve al servidor SMB falso.* * *¿Qué captura Responder? → El hash NetNTLMv2, que luego puede ser crackeado para obtener la contraseña.* #### ***Explicación paso a paso del ataque** conocido como **LLMNR/NBT-NS Poisoning*** *Consiste en interceptar solicitudes de resolución de nombres en una red local para capturar credenciales NTLM de usuarios.* #### *Conceptos clave:* 1. *LLMNR (Link-Local Multicast Name Resolution) y NBT-NS (NetBIOS Name Service) son protocolos de resolución de nombres que usa Windows cuando no encuentra un dominio en el DNS.* 2. *Si un equipo en la red busca un recurso (ejemplo: `\\server-compartido\`), pero el DNS no responde, el sistema envía una solicitud LLMNR/NBT-NS preguntando quién es "server-compartido".* 3. *Responder, una herramienta de pentesting, puede interceptar esa solicitud y responder falsamente como si él fuera "server-compartido".* 4. *Como resultado, la víctima intenta autenticarse en el atacante (que se hace pasar por el recurso real), enviando su NetNTLMv2 hash automáticamente.* ***Ver maquinas*** [***Responder***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/responder.md) ***(HTB),*** [***Driver***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/driver.md) ***(HTB)*** --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/responder.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.