Responder是Kali Linux中一款强大的网络欺骗工具,主要用于在局域网中捕获各种网络协议的认证信息,特别是NTLM哈希。它通过响应LLMNR(链路本地多播名称解析)、NBT-NS(NetBIOS名称服务)和mDNS(多播DNS)等名称解析请求,欺骗目标主机将认证信息发送到攻击者控制的机器上。
该工具广泛应用于渗透测试中,帮助安全测试人员发现网络中的认证漏洞。当目标主机尝试解析一个不存在的主机名时,Responder会伪装成该主机并响应,从而诱使目标发送认证凭据(通常是NTLM哈希),这些哈希可以被捕获并用于后续的密码破解或传递哈希攻击。
Responder命令及参数说明
基本用法
responder -I eth0 -w -d
responder -I eth0 -wd参数选项
| 参数 | 描述 |
|---|---|
| --version | 显示程序版本号并退出 |
| -h, --help | 显示帮助信息并退出 |
| -A, --analyze | 分析模式。此选项允许你查看NBT-NS、BROWSER、LLMNR请求而不进行响应 |
| -I eth0, --interface=eth0 | 使用的网络接口,你可以使用'ALL'作为所有接口的通配符 |
| -i 10.0.0.21, --ip=10.0.0.21 | 使用的本地IP(仅适用于OSX) |
| -6 <IPv6>, --externalip6=<IPv6> | 用另一个IPv6地址而不是Responder自身的地址来欺骗所有请求 |
| -e 10.0.0.22, --externalip=10.0.0.22 | 用另一个IP地址而不是Responder自身的地址来欺骗所有请求 |
| -b, --basic | 返回Basic HTTP认证。默认:NTLM |
| 参数 | 描述 |
|---|---|
| -d, --DHCP | 启用对DHCP广播请求的响应。此选项将在DHCP响应中注入一个WPAD服务器。默认:关闭 |
| -D, --DHCP-DNS | 此选项将在DHCP响应中注入一个DNS服务器,否则将添加WPAD服务器。默认:关闭 |
| -w, --wpad | 启动WPAD恶意代理服务器。默认值:关闭 |
| -u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY | 恶意WPAD代理用于传出请求的上游HTTP代理(格式:host:port) |
| -F, --ForceWpadAuth | 强制对wpad.dat文件的检索进行NTLM/Basic认证。这可能会导致登录提示。默认:关闭 |
| -P, --ProxyAuth | 强制代理使用NTLM(透明)/Basic(提示)认证。WPAD不需要开启。此选项非常有效。默认:关闭 |
| -Q, --quiet | 让Responder保持安静,禁用来自欺骗器的大量输出。默认:关闭 |
| 参数 | 描述 |
|---|---|
| --lm | 强制为Windows XP/2003及更早版本降级LM哈希。默认:关闭 |
| --disable-ess | 强制ESS降级。默认:关闭 |
| -v, --verbose | 增加详细程度 |
| -t 1e, --ttl=1e | 更改被欺骗响应的默认Windows TTL。值为十六进制(30秒=1e)。使用'-t random'获取随机TTL |
| -N ANSWERNAME, --AnswerName=ANSWERNAME | 指定LLMNR欺骗器在其Answer部分返回的规范名称。默认情况下,答案的规范名称与查询相同。更改此值主要在尝试通过HTTP执行Kerberos中继时有用 |
| -E, --ErrorCode | 将SMB服务器返回的错误代码更改为STATUS_LOGON_FAILURE。默认情况下,状态是STATUS_ACCESS_DENIED。更改此值允许从运行WebClient服务的受欺骗机器获取WebDAV认证 |
使用教程
1. 基本运行模式
在指定接口上启动Responder,开启WPAD服务器并响应DHCP请求:
responder -I eth0 -w -d或使用简写形式:
responder -I eth0 -wd2. 分析模式
仅监听和分析网络请求而不进行响应,适合前期侦查:
responder -I eth0 -A3. 启用详细输出
在调试或需要详细信息时使用:
responder -I eth0 -v4. 使用外部IP进行欺骗
指定不同于Responder所在主机的IP地址进行欺骗:
responder -I eth0 -e 192.168.1.1055. 强制Basic认证
默认情况下Responder使用NTLM认证,可强制使用Basic认证:
responder -I eth0 -b6. 启用代理认证
强制代理使用认证,提高捕获成功率:
responder -I eth0 -P7. 结合WPAD和强制认证
启动WPAD服务器并强制对wpad.dat文件进行认证:
responder -I eth0 -w -F8. 使用DHCP注入DNS服务器
在DHCP响应中注入DNS服务器而不是WPAD服务器:
responder -I eth0 -d -D9. 捕获WebDAV认证
更改SMB服务器错误代码以捕获WebDAV认证:
responder -I eth0 -E10. 静默模式运行
减少输出信息,适合后台运行:
responder -I eth0 -Q注意事项
- 使用Responder进行未授权的网络测试是非法的,请确保你拥有合法授权。
- 该工具主要用于渗透测试和安全评估,帮助组织发现并修复网络中的安全漏洞。
- 在某些网络环境中,Responder可能会与正常的网络服务产生冲突,使用后应及时停止。
- 捕获的NTLM哈希可以使用Hashcat等工具进行破解,或用于Pass-the-Hash攻击。
- 不同版本的Responder参数可能略有差异,可使用-h参数查看当前版本的详细帮助。