利用LLMNR名称解析缺陷劫持内网指定主机会话-Her0in.PDFVIP

原原文文地地址址:/tips/11086 本文将会对 LLMNR 协议进行分析并用 Python 实现质询和应答。后半部分则会重点阐 利用 LLMNR 在名称解析过程中的缺陷进行实战攻击的部分思路。 下面是本文的每一小节的 title ： 0x00 LLMNR 简介 0x01 LLMNR 协议分析 0x02 LLMNR 名称解析过程 0x03 编程实现 LLMNR 的质询和应答 0x04 LLMNR Poison 攻击原理 0x05 利用伪造源 IP + LLMNR Poisone 劫持内网指定主机会话 0x06 LLMNR Poison 实战攻击思路 0x07 总结 0x00 LLMNR 简简介介 从 Windows Vista 起，Windows 操作系统开始支持一种新的名称解析协议 LLMNR，主要用于局域网中的名称解析。LLMNR 能够很好的支持 IPv4 和 IPv6，因此在 Windows 名称解析顺序 中是一个仅次于 DNS 的名称解析方式，更重要的是在 Linux 操作系统中也实现了 LLMNR。 0x01 LLMNR 协协议议分分析析 LLMNR 协议定义在 RFC 4795 中。文档里详细的介绍了有关于 LLMNR 协议的结构，配置以及安全性等内容。 LLMNR 的协议结构如下图所示： 图 1：LLMNR 协议结构 LLMNR 协议结构图中各个字段的说明如下： ID - Transaction ID是一个随机生成的用来标识质询与应答的 16 位标识符。 QR - 0 为查询，1 为响应 OPCODE - 是一个 4 位的字段，用来指定在此消息中的查询类型。该字段的值会在发起查询时被设置并复制到响应消息中。此规范定义了标准的查询和响应 (OPCODE 的值为零) 的行 为。在未来的规范中可以在 LLMNR 中定义其他的 OPCODE。 C - 冲突位。 TC - 截断位。 T - 暂定，无标志。 Z - 保留位。 RCODE - 响应码。 QDCOUNT - 16 位的无符号整数，指定在质询部分中的条目数量。 ANCOUNT - 16 位的无符号整数，指定在应答部分中的资源记录数量。 NSCOUNT - 16 位的无符号整数，指定在权威记录部分的名称服务器资源录数量。 ARCOUNT - 16 位的无符号整数，指定在附加记录部分的资源记录数量。 0x02 LLMNR 名名称称解解析析过过程程 一个完整的正常的 LLMNR 名称解析过程如下图所示： 注注：：假假定定主主机机 B 已已加加入入了了组组播播组组中中。。 图 2：一个完整的正常的 LLMNR 名称解析过程 LLMNR 名称解析过程所使用的传输协议为 UDP 协议，IPv4 的广播地址为 - 52, IPv6 的广播地址为 - FF02:0:0:0:0:0:1:3 或 FF02::1:3。在主机中所监听的端口为 UDP/5355。 使用 Wireshark 抓取一个完整的 LLMNR 质询/应答过程的数据包，如下图所示： 图 3：一个完整的 LLMNR 质询/应答过程数据包 从上图可以看到，编号为 No.3 和 No.4 的数据包证明了主机 A 分别使用自己的 IPv4 地址和 IPv6 地址向 IPv4 和 IPv6 的广播地址进行了广播，质询数据包的 TID 为 0xc7f7。查询的地址类型为 请求主机 B 的 IPv4 地址，这一点可以从 A 或 AAAA 进行区别。一个 A 表示请求的地址类型为 IPv4 地址，四个A （AAAA）表示请求的地址类型为 IPv6 地址。 编号为 No.5 的数据包证明了主机 B （30）收到请求数据包后，发现有主机请求自己的 IP地址，于是向主机 A 进行单播应答，将自己的 IP 地址单播给了主机 A，应答的地址类型 为 IPv4，同时该数据包的 TID 的值为上面主机 A 进行广播的数据包的 TID 0xc7f7。 质询的数据包详细结构如下图所示： 图 4：质询的数据包详细结构 应答的数据包详细结构如下图所示： 图 5：应答的数据包详细结构 0x03 编编程程实实现现 LLMNR 的的质质询询和和应应答答 通过上面的内容，可以很直观的理解 LLMNR 进行名称解析的详细过