Hacking y ciberseguridad pass-the-hash con responder

 

www.onlinetis.com 

Hacking y ciberseguridad pass-the-hash con responder

Este paquete contiene Responder/MultiRelay, un envenenador LLMNR, NBT-NS y MDNS. Responde a consultas NBT-NS (Servicio de Nombres NetBIOS) específicas según su sufijo de nombre (consulte: http://support.microsoft.com/kb/163409). De forma predeterminada, la herramienta solo responde a solicitudes del Servicio de Servidor de Archivos, que es para SMB.

El objetivo es dirigir las respuestas y ser más discreto en la red. Esto también ayuda a garantizar que no se vulnere el comportamiento legítimo de NBT-NS. Puede configurar la opción -r mediante la línea de comandos si desea responder al sufijo de nombre de la solicitud del Servicio de Estación de Trabajo.

Especifique la dirección IP a la que se redirigirá (-i 192.168.1.202), habilitando el proxy malicioso WPAD (-w On), respuestas para wredir netbios (-r On) y huellas digitales (-f On):

# responder -i 192.168.1.202 -w On -r On -f On

 

Como instalar: sudo apt install responder

# responder -h

Utilizar Responder en Kali Linux es una técnica común para realizar ataques de suplantación de identidad (spoofing) y de envenenamiento de caché de DNS. A continuación, se detalla cómo usarlo, junto con la forma en que funciona y algunas consideraciones importantes.

¿Qué es Responder?

Responder es una herramienta de envenenamiento de red que se utiliza para responder a solicitudes de nombres que no se pueden resolver en una red local. Funciona de manera pasiva, escuchando las solicitudes de protocolos como el LLMNR (Link-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) y mDNS (Multicast DNS). Cuando una máquina en la red no puede encontrar un recurso a través de su servidor DNS principal, intenta estos otros protocolos. Responder intercepta estas peticiones y se presenta como el recurso solicitado, lo que le permite capturar credenciales de acceso (hashes) de los usuarios que intentan conectarse.

Cómo Usar Responder en Kali Linux

El proceso de uso de Responder es bastante sencillo. Es crucial realizarlo en un entorno controlado y con permiso.

  1. Abrir una terminal: Inicia una nueva terminal en Kali Linux.

  2. Identificar la interfaz de red: Necesitas saber qué interfaz de red estás usando para conectarte a la red objetivo. Puedes averiguarlo con el comando ifconfig o ip addr. La interfaz suele ser eth0 o wlan0.

  3. Ejecutar Responder: El comando básico para iniciar Responder es el siguiente:

    Bash
    sudo responder -I <interfaz> -f

    • -I <interfaz>: Especifica la interfaz de red a usar (reemplaza <interfaz> con tu interfaz, por ejemplo, eth0).

    • -f: Este argumento activa la respuesta en el modo de "análisis", lo que significa que Responder solo capturará hashes, pero no servirá archivos maliciosos ni realizará otras acciones. Es una forma más sigilosa de operar.

  4. Esperar la captura de hashes: Una vez que Responder está en funcionamiento, se mantendrá a la escucha de solicitudes de LLMNR, NBT-NS y mDNS. Cuando un usuario en la red intente acceder a un recurso que no existe (por ejemplo, escribiendo un nombre de host incorrecto o al intentar acceder a un recurso compartido), Responder interceptará la solicitud y la responderá, capturando el hash de la contraseña del usuario. Estos hashes se mostrarán en la terminal.

  5. Detener Responder: Puedes detener el proceso en cualquier momento presionando Ctrl + C.

Consideraciones Adicionales

  • Hashes de contraseña: Los hashes capturados no son las contraseñas en texto plano. Necesitas usar herramientas como John the Ripper o Hashcat para descifrar estos hashes y obtener las contraseñas reales.

  • Archivos de registro: Responder guarda automáticamente los hashes y la información de las víctimas en un directorio dentro de la carpeta de la herramienta (generalmente en /usr/share/responder/logs).

  • Precaución: Es vital entender que esta herramienta puede ser muy efectiva para capturar credenciales, pero su uso sin el consentimiento expreso del propietario de la red es ilegal. Siempre usa Responder de manera ética y en entornos de prueba controlados.

    # responder-Icmp-Redirect -h


    El script Responder-Icmp-Redirect se utiliza para crear redirecciones ICMP en Kali Linux, permitiendo al atacante redirigir el tráfico de una red hacia un servidor malicioso. Esto es útil para realizar ataques Man-in-the-Middle (MitM), ya que se puede interceptar y manipular el tráfico de la víctima, como las credenciales de inicio de sesión o archivos importantes.

    Funcionamiento y Requisitos El script Responder-Icmp-Redirect funciona enviando mensajes de redirección ICMP (Internet Control Message Protocol) a la víctima. El mensaje le indica a la víctima que envíe su tráfico a una puerta de enlace diferente a la que tiene configurada, que en este caso sería el atacante. Para que el ataque sea exitoso, es crucial que el atacante se encuentre en la misma subred que la víctima. Además, se necesitan permisos de superusuario (root) para ejecutar el script, por lo que se debe utilizar sudo.

    Instalación y Uso

    El script Responder-Icmp-Redirect no forma parte de la suite Responder, sino que es un script separado. Se puede descargar desde GitHub y debe ser ubicado en el directorio /opt/Responder.

    1. Descarga:

      git clone https://github.com/lgandx/Responder-Icmp-Redirect.git /opt/Responder-Icmp-Redirect

    2. Ejecución:

      sudo python /opt/Responder-Icmp-Redirect/Responder-Icmp-Redirect.py

      sudo python /opt/Responder-Icmp-Redirect/Responder-Icmp-Redirect.py -i <interfaz>

      • -i <interfaz>: Permite especificar la interfaz de red (ej. eth0, wlan0). Si no se especifica, el script intentará adivinarla.

    Parámetros y Opciones

    • -h: Muestra la ayuda y las opciones disponibles.

    • -v: Muestra la versión del script.

    • -i <interfaz>: Permite especificar la interfaz de red (ej. eth0, wlan0).

    • -r <router>: Permite especificar la dirección IP de la puerta de enlace.

    • -d <destino>: Permite especificar la dirección IP de la víctima o un rango de direcciones IP.

    Consideraciones de Seguridad * Entorno de prueba: Este script solo debe utilizarse en entornos controlados y con el permiso explícito del propietario de la red.

    • Riesgos legales: El uso no autorizado de este script en redes de terceros es una actividad ilegal y puede tener graves consecuencias legales.

    • Detección: Los administradores de red pueden detectar este tipo de ataques mediante herramientas de detección de anomalías en el tráfico de red, como IDS (Intrusion Detection System) y SIEM (Security Information and Event Management).

     # responder-MultiRelay -h

     

    Iniciar MultiRelay: Abre otra terminal y ejecuta el script MultiRelay.py. Debes especificar la dirección IP de la máquina a la que quieres retransmitir la autenticación y la acción que deseas realizar.

    1. Bash
      responder-MultiRelay -t <ip_objetivo> -u <usuario> -c "<comando>"

      • -t <ip_objetivo>: La dirección IP de la máquina a la que quieres retransmitir la autenticación (la máquina vulnerable).

      • -u <usuario>: El usuario cuya autenticación quieres retransmitir. Si no lo especificas, intentará retransmitir la de cualquier usuario.

      • -c "<comando>": El comando que quieres ejecutar en la máquina objetivo una vez que el "relay" sea exitoso. Por ejemplo, podrías usar whoami para verificar el acceso, o un comando para obtener una shell reversa.

    Puntos importantes a tener en cuenta:

    • El ataque solo funciona si la máquina objetivo no requiere la firma SMB. En redes modernas, esta configuración suele estar activada para mitigar este tipo de ataques.

    • El usuario cuya autenticación se retransmite debe tener permisos de administrador local en la máquina objetivo para que el ataque tenga éxito y se pueda ejecutar el comando.

    • Asegúrate de que MultiRelay tenga los permisos y dependencias necesarias. Si el script no se encuentra en el PATH de tu sistema, es posible que debas ejecutarlo con la ruta completa, por ejemplo: /usr/share/responder/tools/MultiRelay.py.

    En resumen, Responder es la herramienta que captura los hashes, y MultiRelay es la herramienta que los retransmite a una máquina diferente para obtener acceso. Se utilizan en conjunto para un ataque de "NTLM relay".

    # responder-RunFinger -h

     

    Kali Linux incluye una herramienta llamada Responder-RunFinger que se utiliza para analizar y clasificar los sistemas operativos y sus servicios en una red. Esta herramienta ayuda a un atacante a entender la topología de la red, los tipos de dispositivos presentes y las vulnerabilidades potenciales.

    ¿Cómo utilizar Responder-RunFinger?

    El uso de Responder-RunFinger es relativamente simple y consta de los siguientes pasos:

    1. Abrir una terminal: Primero, abra una terminal en su sistema Kali Linux.

    2. Navegar a la carpeta de Responder: La herramienta RunFinger generalmente se encuentra dentro de la carpeta de Responder. Para navegar, use el siguiente comando:

      Bash
      cd /usr/share/responder/

    3. Ejecutar la herramienta: Una vez en la carpeta, puede ejecutar RunFinger de la siguiente manera:

      Bash
      python3 RunFinger.py -i <interfaz_de_red>

      Reemplace <interfaz_de_red> con el nombre de su interfaz de red. Por ejemplo, eth0 o wlan0. Puede encontrar su interfaz de red utilizando el comando ifconfig o ip a.

    4. Análisis: Responder-RunFinger comenzará a enviar paquetes de prueba a la red para identificar los sistemas activos. Utiliza la información de los paquetes de red para determinar el sistema operativo y los servicios que se están ejecutando.

    5. Revisar los resultados: Los resultados se mostrarán en la terminal. Estos resultados incluirán:

      • Dirección IP: La dirección de los sistemas escaneados.

      • Nombre de host: El nombre de la máquina si está disponible.

      • Sistema operativo: La identificación del sistema operativo.

      • Versión del servicio: Información sobre los servicios que se están ejecutando en los puertos abiertos.

    Ejemplo de uso

    A continuación se muestra un ejemplo de cómo utilizar la herramienta con la interfaz de red eth0:

    Bash
    cd /usr/share/responder/
python3 RunFinger.py -i eth0

    Este comando iniciará el escaneo y mostrará una salida similar a la siguiente:

    [+] Started Responder-RunFinger on interface eth0
[+] Sent 3 packets to 192.168.1.10
[+] Sent 3 packets to 192.168.1.15
[+] 192.168.1.10 - Windows 10
[+] 192.168.1.15 - Ubuntu 20.04

    Importante:

    Es importante destacar que Responder-RunFinger es una herramienta de prueba de penetración y debe usarse únicamente con fines educativos y éticos. Escanear redes sin autorización es ilegal y puede tener consecuencias graves. Es esencial obtener el permiso explícito del propietario de la red antes de usar esta herramienta. ⚠️

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »