LLMNR Poisoning

¿Qué es LLMNR?

LLMNR (Link-Local Multicast Name Resolution), es un protocolo de resolución de nombres de multidifusión de vínculo local que resuelve los nombres de los sistemas informáticos cercanos, si la red no tiene un servidor de Sistema de nombres de dominio (DNS). A veces también se hace referencia a este protocolo como NBT-NS.

Normalmente entra en acción cuando el DNS falla..

Vector de ataque: Cuando los servicios utilizan el nombre de usuario y el hash NTLMv2 de un usuario cuando responden adecuadamente podemos obtener el hash de usuarios y utilizar la técnica de pass-the-hash para robar la sesión de los usuarios.

Nota: este ataque solo funciona en redes locales, no funciona por VPN

Ataque

1 Envenenar la red con "Responder" impacket

python /usr/share/responder/Responder -I eth0 -rdw -v

GitHub - lgandx/Responder: Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.GitHub

Bibliografía

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks - HackTricksbook.hacktricks.xyz