Responder Attack Nedir ?


Responder attack bir domain yapısındaki tüm ağı zehirleyerek ağ içerisinde bulunan istemcilerin ve serverın oturum hash bilgilerini elde etmek için kullanılır.Hash değerini elde ettikten sonra çeşitli toollar (john the ripper,hashcat ) kullanılarak hash değeri cracklenir ve clear-text parola elde edilir.Crackelem işleminde eğer parola cracklemesi için verilen dosyanın içinde olmazsa ,crackleme işlemi başarız olur.Bunun için daha güvenli yollar da vardır.Hash değeri bulunduktan sonra çeşitli yollar ile (NTLM Relaying) direk olarak oturum elde edilebilir.Burada dikkat edilmesi gereken bir diğer olay ise NTLMv1 ve NTLMv2 ile pass the hash saldırısı yapılmaz.Ntlm hash değeri ile yapılır.

Ntlm Relaying attack için ise SMB Signing özelliği devre dışı olması gerekmektedir.Kapalı yada açık olduğunu nmap taraması ile görebiliriz.

message_signing disabled

Responder attacğın nasıl yapıldığına geçmeden önce hangi lab üzerinde denediğimi ve kurulumundan bahsedeceğim.

Lab Ortamı

Active Directory yapısınının nasıl kurulacağını bilmiyorsanız önce burada ki yazıyı ardından kurulum aşamasını anlattım burada ki yazımı okuyabilirsiniz.

Kuruluma aşamaları;

  • Windows Server 2016 ya domain rolü verildi ve istemci olarak Win10 ve Win7 bu domaine bağlandı.
  • Bütün sistemde aynı subnettedir ve birbirleri ile haberleşebilirler.
  • Win-2016 ip adresi sabittir .

Gerekli Programın Kurulması


Responder attack saldırılarında all in one olan ve sıkça kullanılan Responder toolu kullanılır.Bu araca buraya tıklayarak githubdan indirip şekil-1 deki gibi kurabilirsiniz.

Şekil-1.Responder toolunun kurulması

Kurduktan sonra dosya içeriği ;

Responder içeriği

ve ardından >python Responder.py -I eth0 komutu ile eth0 kartımızı dinlemeye alıyoruz .

Domain yapısı içierisinde herhangi bir bağlantı isteği geldiğinde kali makinemiz araya girerek istekte bulunan istemcinin credential bilgilerini elde edecektir.Win7 için deneyelim.

Win7 üzerinden bağlantı isteği gönderildi

Bağlantı isteği gönderildiğinde kali makinemiz win7 den credential isteyecekti ,

Credential bilgilerinin alınması

Yukarıdaki fotoğrafda görüldüğü gibi istekte bulunan istemcinin oturum hash bilgisi elde edildi.\\Win10 yazılarak istek atıldı ama bu domaine bağlı olmayan herhangi bir şey yazılarak da istekte bulunup ,oturum hash bilgisi elde edilebilir.Burda önemli olan haberleşmek için network üzerinden istekte bulunmasıdır.

Win10 Credential bilgileri

\\test komutu Win10 üzerinden denenmiş ve Win10 oturum hash bilgisi elde edilmiştir.

Fakat burdaki istemciler domain üzerinde düşük yetkilere sahiptir.Eğer hedef sistem üzerinde yüksek yetkilerle erişim elde etmek istiyorsak ki bu daha önemli o zaman winServer-16 için denenebilir.

WinServer-2016 oturum hash bilgisi

Artık bu domainde en yetkili kullanıcı olan Administrator un hash bilgisi elimizde .Cracklemek için WinServer2016 hash bilgileri kullanılabilir.Ben Win10 için göstereceğim.Zaten diğerleri de aynı aşamadan oluşuyor.Bunun için 2 tool söylemiştik .Hashcat ve John the Ripper .Daha hızlı olduğunu düşündüğüm hashcat ile cracklemeye çalışalım.

Win10 hash bilgisi

Hash bilgisini alıp bir txt dosyasına kopyalayalım ve adını hash.txt yapalım.

ardından hashcatı çalıştıralım.

Hashcat çıktısı

hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt –force ve ardından –show kullanarak crackleme işlemini gerçekleştirdik.

  • -m ile hash kodunun numara karşılığını verdik.Tam listeye burdan ulaşabilirsiniz.
  • hash.txt bizim hash değerini içeren dosya . Dosya yolunu vermemiz gerekiyor .Ben zaten masaüstünde olduğum için sadece hash.txt yazdım. /home/user/Desktop/hash.txt de yazılabilirdi.
  • Cracklemek için kullanacağımız wordlist ,rockyou kullandım.

Crackleme işlemi sonucunda password bilgisi Password1 olarak ulaşıldı.Daha önceden belirttiğim gibi bu parola rockyou listesinde olmasaydı crackleme işlemi başarısız olacak ve NTLM Relaying saldırısı denenebilirdi.

Sonuç


Responder attack network sistemini bozarak;

Win7 Win10 için istekte bulunduğunda ,konuşma böyle gerçekleşiyor;

  • Win7-> Win10 kim ? (Broadcast)
  • Kali-> Win10 benim
  • Win7 ->bağlantı kuralım
  • Kali-> Domaine bağlı mısın giriş yap bakalım
  • Win7-> işte benim hash bilgilerim
  • Kali-> Tamam inandım senmişsin 🙂

istemcilerin veya serverın oturum bilgisini çalmaya yarıyor.Elde edilen hash değeri ile crackleme işlemi yapılabilir.Buna ek olarak hash değeri ile NTLM Relaying yapılabilir .Ama NTLM Relaying için smb-signing özelliği disable olmalıdır.

Herkese iyi çalışmalar dilerim .

No responses yet

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir