LLMNR wird benutzt, um Hosts zu identifizieren, wenn DNS im Netzwerk fehlschlägt. Es ist auch bekannt als NBT-NS. Durch das Antworten auf diese Anfragen können Usernamen und Hashes erhalten werden. Bei dem Server wird um den Zugriff auf einen Share gebeten. Findet der Server diesen Share nicht schickt er eine Broadcast Nachricht. Der Angreifer kann nun dem Server Antworten und ihm mitteilen, dass er übernimmt dafür aber den Hash braucht.

sudo responder -I <interface> -dwP

Mit multirelay

Für diese Attacke muss SMB Signing deaktiviert sein. In der Responder.conf muss SMB und HTTP deaktiviert werden.

Responder -I <Interface>
python MultiRelay.py -t 192.168.11.17 -u ALL

Gather credentials metasploit

load capture
captureg start --ip 192.168.159.128