responder 这个工具首先是一个LLMNR和NBT-NS响应者,它将根据它们的名字后缀来回答特定的NBT-NS(NetBIOS名称服务)查询 。默认情况下,该工具只会回答针对SMB的文件服务器服务请求。这背后的概念是针对我们的答案,并在网络上隐身。这也有助于确保我们不会破坏合法的NBT-NS行为。如果您希望此工具回答工作站服务请求名称后缀,可以通过命令行将-r选项设置为1。
项目地址:https://github.com/lgandx/Responder/responder
用法:
responder -I eth0 -w -r -f
或
responder -I eth0 -wrf
选项:
--version 显示程序的版本号并退出
-h,--help 显示此帮助信息并退出
-A, --analyze 分析模式。这个选项可以让你看到NBT-NS,BROWSER,LLMNR请求没有回应。
-I eth0,--interface = eth0 使用网络接口,可以使用'ALL'作为所有接口的通配符
-i 10.0.0.21,--ip = 10.0.0.21 使用本地IP(仅适用于OSX)
-e 10.0.0.22,--externalip = 10.0.0.22 毒药所有请求与另一个IP地址比回应者的一个。
-b,--basic 返回一个基本的HTTP认证。默认值:NTLM
-r,--wredir 启用netbios wredir后缀查询的答案。回答wredir可能会打破东西网络。默认:False
-d,--NBTNSdomain 为netbios域后缀查询启用答案。回答域名后缀可能会打破东西在网络上。默认:False
-f,--fingerprint 这个选项允许你指定一个主机发出NBT-NS或LLMNR查询。
-w,--wpad 启动WPAD流氓代理服务器。默认值是False
-U UPSTREAM_PROXY,--upstream-proxy = UPSTREAM_PROXY 恶意WPAD代理使用的上游HTTP代理传出请求(格式:主机:端口)
-F,--ForceWpadAuth在wpad.dat 文件上强制执行NTLM / Basic验证恢复。这可能会导致登录提示。默认:假
-P,--ProxyAuth强制NTLM(透明)/ Basic(提示)代理的身份验证。 WPAD不需要上。与此结合使用时,此选项非常有效-r。默认:False
- lm 强制LM哈希降级Windows XP / 2003和早。默认:False
-v,--verbose 增加详细程度。
示例:
1、指定要重定向到(-i 192.168.1.202)的IP地址,启用WPAD流氓代理(-w On),netbios wredir(-r On)和fingerprinting(-f On)的答案:
root@kali:~# responder -i 192.168.1.202 -w On -r On -f On
2、
root@kali:~# responder -I eth0 -w -r -f
responder效果与评价:
由于此工具是一个LLMNR和NBT-NS响应者,它将根据它们的名字后缀来回答特定的NBT-NS(NetBIOS名称服务)查询 ,因此不像以前所遇到的其它工具,直接利用浏览器代理监控127.0.0.1:80/8080/1234那样去监控流量。
在线视频:
优酷:http://v.youku.com/v_show/id_XMzM3ODY3MTQ2NA==.html
腾讯:https://v.qq.com/x/page/m0550k6d335.html
爱奇艺:http://www.iqiyi.com/w_19rw2l59mx.html
乐视:
