Responder durante i rischi più grandi

Naviga le tue risposte
2

Voglio utilizzare lo strumento Responder durante un pentest per trovare / mostrare vulnerabilità nel modo in cui è configurata la rete. Ma non sono sicuro di quanto effetto avrebbe sugli utenti finali, ovvero le persone con cui devo lavorare nel resto dell'anno. Non ho le risorse per creare un laboratorio di test su larga scala, quindi spero che le persone su questo forum abbiano una certa esperienza con questo.

Lo strumento: Responder

Gli attacchi che voglio provare:

Avvelenamento WPAD: responder -I eth0 -wft

Avvelenamento WPAD con autenticazione forzata .: responder -I eth0 -wFf

Avvelenamento da NBTNS: responder -I eth0 -rf

Può essere che le mie definizioni siano un po 'spente ma per essere sicuro spiegherò cosa voglio ottenere:

WPAD: IE tenta di trovare il proxy di sistema e quindi invio alla vittima la mia macchina come proxy e li autorizzo a riautenticare. Questo può andare automaticamente o con un popup in IE affinché l'utente possa reinserire le proprie credenziali (cioè con l'opzione di autenticazione forzata). Questo dovrebbe dare alle vittime una finestra popup per le credenziali.

NBTNS: le macchine cercano di connettersi a fileshares sulla rete e io mi metto nel mezzo. Questo dovrebbe solo annusare gli hash delle credenziali delle vittime.

La mia domanda è: Che cosa proverebbero gli utenti finali nell'esecuzione dei comandi che ho descritto. Supponendo che la rete non sia configurata in modo molto sicuro.

    
posta Wealot 08.05.2017 - 14:42
fonte

2 risposte

2

Presumo che tu abbia l'autorizzazione per il pentest della tua rete nell'ambito che hai descritto. Puoi non solo interrompere le operazioni ma anche esporre informazioni.

responder è uno strumento per rispondere alle richieste. Queste richieste possono essere benigne (in alcuni ambienti legacy ci sono richieste LLMNR per alcuni server che non sono in un dominio) o business critical (dove qualcuno si basa effettivamente sulle risposte a queste richieste).

La tua macchina potrebbe non essere in grado di elaborare le richieste dei tuoi utenti (a causa della sua configurazione o prestazioni, o per altri motivi). I tuoi utenti ignoreranno il proxy ufficiale e quindi non verranno registrati e / o filtrati, il che apre problemi legali (a seconda del Paese). Inversamente, puoi registrare le loro connessioni, che potrebbero non essere legali. Infine, potrai ottenere le loro credenziali, che aprono di nuovo questioni legali.

Quindi i tuoi utenti potrebbero non avere accesso alle risorse fornite dalla tua azienda e potresti essere a rischio perché hai eseguito attivamente azioni che potrebbero non essere legali.

    
risposta data 08.05.2017 - 18:32
fonte
0

Per la natura stessa di ciò che Responder fa, ogni query che risponde usurba un server legittimo (LLMNR / NBTNS / WPAD) per rispondere a quella query, il che significa che interromperà il flusso di lavoro di tali host / utenti.

Inoltre, il risponditore può essere catturato. Ho scritto Riscontro , che rileva la presenza di Responder nella rete. Quindi non è un'operazione completamente segreta.

    
risposta data 26.03.2018 - 06:41
fonte

Leggi altre domande sui tag

Blocco effettivo delle connessioni SMB su AsusWRT Richieste server monitor e indirizzi IP