4.Responder
Responder(Python)是 LLMNR、NBTNS、MDNS 中毒和 WPAD 欺骗的强大工具,但它也可以用于“分析”模式。
- BROWSER 模式:分析浏览服务(Browse Service)消息,并将 IP 地址与 NetBIOS 名称进行映射。
- LANMAN 模式:被动地通过浏览器协议(Browser protocol)映射域控制器、服务器和加入域的工作站(详见 Trustwave 的《Responder 2.0 - Owning Windows Networks part 3》)。
- LLMNR、NBTNS、MDNS 模式:分析广播和组播的名称解析请求。
以下命令可以启用分析模式,并获取如下有价值的信息:
- 域控制器、SQL 服务器、工作站等主机信息- 完全限定域名(FQDN)
- 使用中的 Windows 版本
- 各种协议(如 LLMNR、NBTNS、MDNS、LANMAN、BROWSER)的“启用”或“禁用”状态
responder --interface "eth0" --analyze
responder -I "eth0" -A
常用于在 NTLMRelay 中进行捕获hash
