LLMNR
1. LLMNR 简介
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,可用于解析局域网中本地链路上的主机名称。它可以很好地支持IPv4和IPv6,是仅次于DNS 解析的名称解析协议。
2.LLMNR 解析过程
当本地hosts 和 DNS解析 当本地hosts 和 DNS解析失败时,会使用LLMNR解析。
1)主机在本地NetBIOS缓存名称中进行查询。
2)如果在缓存名称中没有查询到,则以此向配置的主备DNS服务器发送解析请求
3)如果主备DNS服务器没有回复,则向当前子网域发送多播,获取对应的IP地址
4)本地子网域中的其他主机收到并检查多播包。如果没有响应,则请求失败
从以上工作过程可以明白,LLMNR是以多播形式进行查询的,类似于ARP通过MAC寻找IP地址。这样就存在一个欺骗攻击问题。
3.LLMNR 欺骗攻击
假设用户访问一个域名xxx,,在hosts 文件和DNS解析失败时,会通过LLMNR进行广播请求。攻击者利用该广播请求时间向请求用户回复响应IP地址,这时域名xxx映射的P就是攻击者IP,用户访问域名 xxx就会解析到攻击IP,这样攻击者便可以拿到 NetNTLM 哈希。
4.LLMNR 防御措施
1)在 Windows系统中依次选择“开始”→“运行”选项,然后输入 gpedit.msc命令打开本地组策略管理器。
2)依次选择“计算机配置”→“管理模板”→“网络”→“DNS 客户端”
3)双击打开“关闭多播名称解析”策略设置
4)将“关闭多播名称解析”略设置中的状态改为“已禁用”
NetBIOS
1.NetBIOS 简介
NetBIOS(Network Basic Input/Output System,网络基本输入输出系统)是一种接入服务网络的接口标准。主机系统通过WINS服务、广播及lmhosts 文件等多种模式,把NetBIOS名解析成对应的IP地址,实现信息通信。因占用资源小、传输快的特点,NetBIOS被广泛应用于局域网内部消息通信及资源共享。
2.NetBIOS 服务类型
NetBIOS 支持面向连接(TCP)和无连接(UDP)通信。它提供3个分开的服务:名称服务(NetBIOS name)、会话服务(NetBIOS session)、数据报服务(NetBIOS datagram)。NetBIOS name 为其他两个服务的基础。
三种常见的NetBIOS报文类型进行
| 报文类型 | 端口 | 具体描述 |
| Net BIOS names(NetBIOS名称服务) | UDP 137 | 主要作用是在局域网中提供计算机的名称或IP地址查询服务 |
| Net BIOS datagrams(Net BIOS数据报) | UDP 138 | 主要作用是提供NetBIOS环境下的计算机名浏览功能 |
| Net BIOS sessions(Net BIOS会话服务) | TCP 139 | 用于处理NBT会话,NBT会话用于包含SMB会话的轻量级协议,其主要作用是提供文件和打印机共享功能 |
3.NetBIOS 解析过程
NetBIOS协议进行名称解析的过程如下
1)主机检查本地 NetBIOS 缓存。
2)如果缓存中没有请求的名称,但是配置了WINS服务器,则向 WINS服务器发送请求
3)如果没有配置 WINS服务器或 WINS服务器无响应,则和 LLMNR 一样向当前子域发送广播。
4)如果子网域的其他主机无响应,则读取本地的lmhosts文件(C:\Windows\System32\drivers\etc)。
NetBIOS 协议通过发送 UDP 广播包进行解析。如果不配置 WINS服务器,则和LLMNR样会有欺骗攻击问题。
4.NetBIOS防御措施
1)执行命令ncpa.cpl打开网络连接
2)依次选择“本地连接”→“属性”→“Internet协议版本4(TCP/IPv4)”→“属性”→“高级'选项来配置,
3)在 WINS 选项卡的 NetBIOS 设置中禁用 NetBIOS,如图
Windows WPAD
WPAD 全称 Web Proxy Auto-Discovery Protocol,也就是 Web 代理自动发现协议。(这里的代理就是我们在渗透中使用BURP的时候修改的代理设置。)它的作用是让局域网浏览器自动发现内网中的代理服务器,并且自动设置成该代理来连接企业内网或者互联网。
若系统开启了WPAD,那么主机就会在当前连接的局域网中寻找代理服务器,找到之后会在代理服务器中下载PAC(Proxy Auto-Config,代理自动配置)文件。这个PAC文件会定义用户在访问什么地址的时候使用什么代理。
1. WPAD 实现方式
前面说过,主机会在当前连接的局域网中自动寻找代理服务器,而它的实现方式主要有两种。
(1)DHCP
在DHCP服务器中,252选项是被用于查询或者注册的指针。可以在DHCP服务器中添加一个用于查找WPAD主机的252选项,内容是部署在WPAD主机上的 PAC文件的URL。当客户端 Web浏览器要访问某个地址时,Web浏览器会向 DHCP服务器发送 DHCPINFORM 数据包来查询PAC文件的位置,DHCP服务器收到请求后会返回DHCP ACK数据包(其中包含选项和配置列表)进行响应。在这些返回选项中的252选项就是代理自动配文件的位置,Web浏览器就可以据此执行下载PAC文件请求。
日前大多数内网中已经不再使用DHCP服务器来配置客户端的WPAD,而采用较为简单的 DNS服务器方式。
(2)DNS
这种方式是目前使用较为广泛的。通过DNS方式实现WPAD的原理是:
-
客户端检测: 当局域网内的客户端(通常是浏览器)需要连接到互联网时,它会尝试自动发现代理服务器设置。首先,它会检查本地网络配置是否已经有手动设置的代理信息;如果没有,则开始自动探测过程。
-
DNS查找: 客户端会在自己的域名前加上
wpad.来构造一个完全限定域名(FQDN),例如:如果客户端的DNS域名为example.com,则查找的域名将是wpad.example.com。 -
请求与响应: 客户端向本地DNS服务器发送查询请求,寻找这个构造出来的
wpad域名对应的IP地址或资源记录。DNS服务器如果配置了相应的记录,会返回指向包含PAC(Proxy Auto-Configuration)文件的URL。 -
获取PAC文件: 客户端收到DNS响应后,访问所指向的URL以下载PAC文件。该文件是一个JavaScript脚本,定义了如何根据不同的URL选择使用哪个代理服务器或者直接连接目标主机。
-
应用PAC规则: 下载到PAC文件后,客户端按照文件中的规则确定对于特定网络请求应使用的代理设置,然后通过指定的代理服务器进行后续的网页访问和数据传输。
2.PAC文件内容
PAC文件最主要的作用是可以控制浏览器如何处理使用HTTP/HTTPS的流量,其实在每个PAC文件中都会包含一个FindProxyForURL函数,用来定义Web浏览器是直接将流量发送到Internet,还是将流量发送到代理服务器的规则,以下是PAC文件的具体配置内容。
function FindProxyForURL(url, host) { if (shExpMatch(host, "*.example.com")){return "DIRECT";}if (isInNet(host, "10.0.0.0", "255.255.248.0")){return "PROXY fastproxy.example.com:8080";}return "PROXY proxy.example.com:8080; DIRECT";
}1)shExpMatch将尝试将主机名或URL与指定的shell表达式匹配,如果匹配则返回true。
2)isInNet 此函数判断主机名的IP地址,如果在指定的子网内则返回true。如果传递了主机名,该函数会将主机名解析为IP地址。
if (shExpMatch(host, "*.example.com")){return "DIRECT";}3)如果在host中匹配到了.example.com,就会返回true,DIRECT的意思是直连,那么这句话就是:如果访问了.example.com的URL那么就会直接连接,不走代理。
if (isInNet(host, "10.0.0.0", "255.255.248.0")){return "PROXY fastproxy.example.com:8080";}4)如果host在指定的IP范围内,那么就会通过代理fastproxy.example.com:8080进行访问。
