LLMNR/NBT-NS 中毒和 SMB 中继

通过响应 LLMNR/NBT-NS 网络流量，对手可能会伪装成权威的名称解析源，以强制与对手控制的系统进行通信。这种活动可能用于收集或中继身份验证材料。 链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS) 是 Microsoft Windows 组件，作为主机标识的替代方法。LLMNR 基于域名系统 (DNS) 格式，允许同一本地链路上的主机为其他主机执行名称解析。NBT-NS 通过其 NetBIOS 名称识别本地网络上的系统。(引用: Wikipedia LLMNR)(引用: TechNet NetBIOS) 对手可以通过响应 LLMNR (UDP 5355)/NBT-NS (UDP 137) 流量，伪装成受害者网络中请求主机的权威名称解析源，有效地毒害服务，使受害者与对手控制的系统通信。如果请求的主机属于需要身份验证的资源，则用户名和 NTLMv2 哈希将发送到对手控制的系统。然后，对手可以通过监控端口流量的工具或通过网络嗅探收集通过网络发送的哈希信息，并通过暴力破解离线破解哈希以获取明文密码。 在某些情况下，如果对手可以访问系统，该系统位于系统之间的身份验证路径中，或者当使用凭据的自动扫描尝试对对手控制的系统进行身份验证时，可以拦截并中继 NTLMv1/v2 哈希以访问和对目标系统执行代码。中继步骤可以与中毒结合发生，但也可以独立发生。(引用: byt3bl33d3r NTLM Relaying)(引用: Secure Ideas SMB Relay) 此外，对手可能会将 NTLMv1/v2 哈希封装到各种协议中，例如 LDAP、SMB、MSSQL 和 HTTP，以扩展并使用带有有效 NTLM 响应的多个服务。 可以使用多种工具在本地网络中毒害名称服务，例如 NBNSpoof、Metasploit 和Responder。(引用: GitHub NBNSpoof)(引用: Rapid7 LLMNR Spoofer)(引用: GitHub Responder)