LLMNR ve NBT-NS Zehirlemesi



Öncelikle LLMNR ve NetBios nedir ?

LLMNR;  (Link Local Multicast Name Resolution) Windows Vista, Windows Server 2008, Windows 7 ve Windows 8 gibi son işletim sistemleri tarafından kullanmaktadır. LLMNR (Link Local Multicast Name Resolution) IPv6 ve IPv4 için geçerli olan client’ların komşu bilgisayarlarının isim çözümlenmesinde kullanılan bir protokoldür.


NetBIOS;  (Network Basic Input/Output System), bir yerel ağ (LAN) üzerindeki farklı bilgisayarların birbirleriyle iletişim kurmasını sağlayan (veri aktarımı vs.) bir sistemdir. NetBIOS üzerinden aynı ağ üzerindeki bilgisayarların iletişimi, temel olarak WINS (Windows Internet Name Service) Sunucusunun bilgisayarların NetBIOS isimlerini IP adreslerine çözümlemesiyle gerçekleşir.


İlk olarak  terminal satırını açıyoruz ve “git clone https://github.com/SpiderLabs/Responder.gitkomutunu kullanarak Responder’i indiriyoruz. Ardından “cd Responder/” yazarak klasörün içerisine giriyoruz ve “./Responder.py –h ” paramatersini kullanarak tool’un nasıl kullanıldıgı hakkında bilgi alıyoruz.
Şimdi ise Responder klasörünün içerisindeyken “./Responder.py –i <SaldırganIP> -I <ağKartı>” şeklinde zehirleme saldırısını başlatıyoruz.
Kurbanın istek yapmaya çalıştıgı an.
Görüldüğü üzeri [SMB] NTLMv2-SSP Hash : kısmına hedef sistemin parolasının NTLM hash’i geldi.
CTRL+C kombinasyonlarını kullanarak çıkış yapıyoruz ve “Responder/logs” klasörüne giriyoruz ve görüldüğü gibi “SMB-NTLMv2-SSP-192.168.1.128.txt” adındaki txt’nin içerisinde hash bulunumakta. Parolayı elde etmek için brute force saldırısı yapıyoruz bunu için john toolunu kullancağız. “john isim.txt” şeklinde, görüldüğü gibi  “username: ENESASLANBAKAN” “Parola:Password1”.


Bu saldırıdan nasıl korunabiliriz ?

Öncelikle LLMNR servisini devre dışı bırakmamız gerekiyor. Bunun için ilk olarak “gpedit.msc” yazarak group policy managment’ı açıyoruz. Ve ardından “Local Computer Policy / Computer Configuration / Administrative Templates / Network  / DNS Client" klasörlerine giriyoruz ve “Turn Off Multicast Name Resolution” sekmesine tıklıyoruz “Enabled” ediyoruz.
Son olarak NetBIOS servisini devre dışı bırakmamız gerekiyor, bunun için “Network and Sharing Center”a giriyoruz ve “Local Are Connection Status” kısmından “Local Area Connections Properties” sekmesinden “Internet Protocol Version 4” kısmına giriyoruz “Advandec” butonuna tıklıyoruz ve “WINS” sekmesinden “Disable NetBIOS over TCP/IP” butonuna tıklıyoruz son olarak “OK” diyerek çıkış yapıyoruz.
Bir sonraki makalde görüşmek üzeri,

Güvenli Günler

Yorumlar

Bu blogdaki popüler yayınlar

MS17-010 Zafiyetiden Faydalanarak Domain Controller Ele Geçirme

Sızma Testi Senaryosu - Bölüm 1

Windows İşletim Sisteminde Yetki Yükseltme - 1