Responder

Responder 🕵️‍♂️

Responder es una herramienta de pentesting especializada en ataques de LLMNR, NBT-NS y MDNS Poisoning para capturar credenciales en redes Windows.

Funciones clave de Responder: ✔ Envenenamiento de LLMNR/NBT-NS para capturar NetNTLMv2 hashes. ✔ Creación de servidores SMB, HTTP y FTP falsos para interceptar autenticaciones. ✔ NTLM Relay Attack para autenticarse en servicios internos con credenciales capturadas.

Explicación paso a paso del proceso de autenticación NetNTLMv2 con Responder

Cuando una máquina Windows intenta acceder a un recurso compartido SMB, usa NetNTLMv2 como mecanismo de autenticación en entornos donde Kerberos no está disponible. Responder se aprovecha de esto para capturar el hash NetNTLMv2 del usuario víctima.

1) Inicio de la conexión SMB

• El cliente (víctima) intenta conectarse a un recurso SMB, por ejemplo:

  \\10.10.14.25\share

• Esto puede suceder de forma automática debido a:

  • Una vulnerabilidad de LFI/RFI forzando la carga de un recurso remoto (\\ATTACKER-IP\malicious-file).

  • Un atacante que ha envenenado respuestas LLMNR/NBT-NS con Responder.

  • Un acceso manual de un usuario a un recurso SMB malicioso.

2) Responder actúa como un servidor SMB falso

• Como Responder está en escucha, se presenta como un servidor SMB válido y responde a la solicitud del cliente.

3) Servidor SMB falso envía un desafío (challenge)

• Windows usa el esquema de autenticación NetNTLMv2, que es un mecanismo challenge-response.

• Responder genera y envía un "challenge" (un valor aleatorio de 16 bytes) al cliente.

4) El cliente cifra el challenge con su hash NTLM

• El cliente cifra el challenge usando el hash NTLM de su contraseña.

• Luego, envía la respuesta cifrada (challenge-response) de vuelta al servidor SMB falso (Responder).

5) Responder captura el NetNTLMv2

• La respuesta contiene el hash NetNTLMv2, que se ve así en Responder:

  Administrator::DESKTOP-XXXXXXX:1122334455667788:7E0A87A2CCB487AD9B76C7B0AEAEE133:0101000000000000005F32...

• Este NetNTLMv2 "hash" no es reversible, pero se puede crackear con john o hashcat para recuperar la contraseña en texto claro.

---

Resumen

• ¿Quién envía el challenge? → El servidor SMB falso (Responder) envía el challenge al cliente.

• ¿Quién envía el challenge-response? → El cliente (víctima) cifra el challenge y lo devuelve al servidor SMB falso.

• ¿Qué captura Responder? → El hash NetNTLMv2, que luego puede ser crackeado para obtener la contraseña.

Explicación paso a paso del ataque conocido como LLMNR/NBT-NS Poisoning

Consiste en interceptar solicitudes de resolución de nombres en una red local para capturar credenciales NTLM de usuarios.

Conceptos clave:

1. LLMNR (Link-Local Multicast Name Resolution) y NBT-NS (NetBIOS Name Service) son protocolos de resolución de nombres que usa Windows cuando no encuentra un dominio en el DNS.

2. Si un equipo en la red busca un recurso (ejemplo: \\server-compartido\), pero el DNS no responde, el sistema envía una solicitud LLMNR/NBT-NS preguntando quién es "server-compartido".

3. Responder, una herramienta de pentesting, puede interceptar esa solicitud y responder falsamente como si él fuera "server-compartido".

4. Como resultado, la víctima intenta autenticarse en el atacante (que se hace pasar por el recurso real), enviando su NetNTLMv2 hash automáticamente.

Ver maquinas Responder (HTB), Driver (HTB)