Responder/MultiRelay

IPv6/IPv4 LLMNR/NBT-NS/mDNS 投毒器和 NTLMv1/2 中继。

作者：Laurent Gaffie laurent.gaffie@gmail.com https://g-laurent.blogspot.com

简介

Responder 是一个 LLMNR、NBT-NS 和 MDNS 投毒工具。

特性

双 IPv6/IPv4 协议栈。
内置 SMB 认证服务器。

默认支持带扩展安全 NTLMSSP 的 NTLMv1、NTLMv2 哈希。已成功在 Windows 95 到 Server 2022、Samba 和 Mac OSX Lion 上测试。当设置 --lm 选项时，支持 NT4 的明文密码和 LM 哈希降级。如果设置 --disable-ess，将为 NTLMv1 认证禁用扩展会话安全。默认也支持并实现了 SMBv2。

内置 MSSQL 认证服务器。

此服务器支持 NTLMv1、LMv2 哈希。该功能已在 Windows SQL Server 2005、2008、2012、2019 上成功测试。

内置 HTTP 认证服务器。

此服务器支持 NTLMv1、NTLMv2 哈希和基本认证。已在 IE 6 到 IE 11、Edge、Firefox、Chrome、Safari 上成功测试。

注意：此模块也适用于 Windows WebDav 客户端（WebClient）发出的 WebDav NTLM 认证。现在你可以向受害者发送自定义文件。

内置 HTTPS 认证服务器。

与上述相同。certs/ 文件夹包含 2 个默认密钥，包括一个虚拟私钥。这是有意为之，目的是让 Responder 开箱即用。如果你需要生成自己的自签名密钥对，可以使用添加的脚本。

内置 LDAP 认证服务器。

此服务器支持 NTLMSSP 哈希和简单认证（明文认证）。已在 Windows 支持工具 "ldp" 和 LdapAdmin 上成功测试。

内置 DCE-RPC 认证服务器。

此服务器支持 NTLMSSP 哈希。已在 Windows XP 到 Server 2019 上成功测试。

内置 FTP、POP3、IMAP、SMTP 认证服务器。

这些模块将收集明文凭据。

内置 DNS 服务器。

此服务器将回答 SRV 和 A 类型查询。当与 ARP 欺骗结合使用时非常方便。

内置 WPAD 代理服务器。

如果网络上的用户启用了 "自动检测设置"，此模块将捕获所有从 Internet Explorer 发出的 HTTP 请求。这个模块非常有效。你可以在 Responder.conf 中配置自定义 PAC 脚本并向服务器响应中注入 HTML。请参阅 Responder.conf。

浏览器监听器

此模块允许在隐蔽模式下查找 PDC。

ICMP 重定向

python tools/Icmp-Redirect.py

用于 Windows XP/2003 及更早版本的域成员的中间人攻击。这种攻击与 DNS 模块结合使用效果很好。

恶意 DHCP

python tools/DHCP.py

DHCP Inform 欺骗。允许你让真正的 DHCP 服务器分配 IP 地址，然后发送 DHCP Inform 答复来设置你的 IP 地址作为主要 DNS 服务器，以及你自己的 WPAD URL。要在所有 Windows 版本和任何 Linux 系统上注入 DNS 服务器、域、路由，请使用 -R。

分析模式。

此模块允许你在网络上查看 NBT-NS、BROWSER、LLMNR、DNS 请求，而无需投毒任何响应。此外，你可以被动地映射域、MSSQL 服务器、工作站，查看 ICMP 重定向攻击在你的子网上是否可行。

哈希

所有哈希都会打印到标准输出并转储到一个符合 John Jumbo 格式的唯一文件中，使用以下格式：

(MODULE_NAME)-(HASH_TYPE)-(CLIENT_IP).txt

日志文件位于 "logs/" 文件夹中。每个用户每种哈希类型只会记录和打印一次哈希，除非你使用详细模式（-v）。

Responder 将所有活动记录到 Responder-Session.log
分析模式将记录到 Analyzer-Session.log
投毒将记录到 Poisoners-Session.log

此外，所有捕获的哈希都会记录到一个 SQLite 数据库中，你可以在 Responder.conf 中配置

注意事项

此工具监听多个端口：UDP 137、UDP 138、UDP 53、UDP/TCP 389、TCP 1433、UDP 1434、TCP 80、TCP 135、TCP 139、TCP 445、TCP 21、TCP 3141、TCP 25、TCP 110、TCP 587、TCP 3128、多播 UDP 5355 和 5353。
如果你在系统上运行 Samba，请停止 smbd 和 nmbd 以及所有监听这些端口的其他服务。
对于 Ubuntu 用户：

编辑文件 /etc/NetworkManager/NetworkManager.conf 并注释掉这一行：dns=dnsmasq。然后用以下命令（以 root 身份）杀死 dnsmasq：killall dnsmasq -9

任何恶意服务器都可以在 Responder.conf 中关闭。
此工具不适用于 Windows。
对于OSX，请注意:Responder必须使用-i标志启动并指定IP地址(例如 -i 您的IP地址)。OSX不原生支持自定义接口绑定。使用 -i en1 将不起作用。另外，为了获得最佳体验运行Responder，请以root身份运行以下命令:

launchctl unload /System/Library/LaunchDaemons/com.apple.Kerberos.kdc.plist

launchctl unload /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist

launchctl unload /System/Library/LaunchDaemons/com.apple.smbd.plist

launchctl unload /System/Library/LaunchDaemons/com.apple.netbiosd.plist

使用方法

首先，请查看Responder.conf并根据您的需求进行调整。

运行工具:

./Responder.py [选项]

典型使用示例:

./Responder.py -I eth0 -Pv

选项:

--version             显示程序的版本号并退出
-h, --help            显示此帮助信息并退出
-A, --analyze         分析模式。此选项允许您查看NBT-NS、BROWSER、LLMNR请求而不做响应。
-I eth0, --interface=eth0
                    使用的网络接口，可以使用'ALL'作为所有接口的通配符
-i 10.0.0.21, --ip=10.0.0.21
                    要使用的本地IP(仅适用于OSX)
-6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, --externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed
                    使用另一个IPv6地址而不是Responder自身的地址来污染所有请求。
-e 10.0.0.22, --externalip=10.0.0.22
                    使用另一个IP地址而不是Responder自身的地址来污染所有请求。
-b, --basic           返回基本HTTP身份验证。默认:NTLM
-d, --DHCP            启用对DHCP广播请求的应答。此选项将在DHCP响应中注入WPAD服务器。
                    默认:False
-D, --DHCP-DNS        此选项将在DHCP响应中注入DNS服务器，否则将添加WPAD服务器。
                    默认:False
-w, --wpad            启动WPAD流氓代理服务器。默认值为False
-u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY
                    流氓WPAD代理用于传出请求的上游HTTP代理(格式:主机:端口)
-F, --ForceWpadAuth   强制对wpad.dat文件检索进行NTLM/Basic身份验证。这可能会导致登录提示。默认:
                    False
-P, --ProxyAuth       强制代理使用NTLM(透明)或Basic(提示)身份验证。不需要启用WPAD。默认:False
--lm                  强制对Windows XP/2003及更早版本降级使用LM哈希。默认:False
--disable-ess         强制ESS降级。默认:False
-v, --verbose         增加详细程度。