LLMNR

1. LLMNR 简介

链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,可用于解析局域网中本地链路上的主机名称。它可以很好地支持IPv4和IPv6，是仅次于DNS 解析的名称解析协议。

2.LLMNR 解析过程

当本地hosts 和 DNS解析 当本地hosts 和 DNS解析失败时，会使用LLMNR解析。
1)主机在本地NetBIOS缓存名称中进行查询。
2)如果在缓存名称中没有查询到，则以此向配置的主备DNS服务器发送解析请求
3)如果主备DNS服务器没有回复，则向当前子网域发送多播，获取对应的IP地址
4)本地子网域中的其他主机收到并检查多播包。如果没有响应，则请求失败

从以上工作过程可以明白，LLMNR是以多播形式进行查询的，类似于ARP通过MAC寻找IP地址。这样就存在一个欺骗攻击问题。

3.LLMNR 欺骗攻击

假设用户访问一个域名xxx，，在hosts 文件和DNS解析失败时，会通过LLMNR进行广播请求。攻击者利用该广播请求时间向请求用户回复响应IP地址，这时域名xxx映射的P就是攻击者IP，用户访问域名 xxx就会解析到攻击IP，这样攻击者便可以拿到 NetNTLM 哈希。

4.LLMNR 防御措施
1)在 Windows系统中依次选择“开始”→“运行”选项，然后输入 gpedit.msc命令打开本地组策略管理器。
2)依次选择“计算机配置”→“管理模板”→“网络”→“DNS 客户端”
3)双击打开“关闭多播名称解析”策略设置
4)将“关闭多播名称解析”略设置中的状态改为“已禁用”

NetBIOS

1.NetBIOS 简介

NetBIOS(Network Basic Input/Output System,网络基本输入输出系统)是一种接入服务网络的接口标准。主机系统通过WINS服务、广播及lmhosts 文件等多种模式，把NetBIOS名解析成对应的IP地址，实现信息通信。因占用资源小、传输快的特点，NetBIOS被广泛应用于局域网内部消息通信及资源共享。

2.NetBIOS 服务类型

NetBIOS 支持面向连接(TCP)和无连接(UDP)通信。它提供3个分开的服务:名称服务(NetBIOS name)、会话服务(NetBIOS session)、数据报服务(NetBIOS datagram)。NetBIOS name 为其他两个服务的基础。

三种常见的NetBIOS报文类型进行

报文类型	端口	具体描述
Net BIOS names（NetBIOS名称服务）	UDP 137	主要作用是在局域网中提供计算机的名称或IP地址查询服务
Net BIOS datagrams（Net BIOS数据报）	UDP 138	主要作用是提供NetBIOS环境下的计算机名浏览功能
Net BIOS sessions（Net BIOS会话服务）	TCP 139	用于处理NBT会话，NBT会话用于包含SMB会话的轻量级协议，其主要作用是提供文件和打印机共享功能

 3.NetBIOS 解析过程

NetBIOS协议进行名称解析的过程如下

1)主机检查本地 NetBIOS 缓存。
2)如果缓存中没有请求的名称，但是配置了WINS服务器，则向 WINS服务器发送请求
3)如果没有配置 WINS服务器或 WINS服务器无响应，则和 LLMNR 一样向当前子域发送广播。
4)如果子网域的其他主机无响应，则读取本地的lmhosts文件(C:\Windows\System32\drivers\etc)。

NetBIOS 协议通过发送 UDP 广播包进行解析。如果不配置 WINS服务器，则和LLMNR样会有欺骗攻击问题。
 

4.NetBIOS防御措施

1)执行命令ncpa.cpl打开网络连接

2)依次选择“本地连接”→“属性”→“Internet协议版本4(TCP/IPv4)”→“属性”→“高级'选项来配置，
3)在 WINS 选项卡的 NetBIOS 设置中禁用 NetBIOS,如图

 

 Windows WPAD

WPAD 全称 Web Proxy Auto-Discovery Protocol，也就是 Web 代理自动发现协议。(这里的代理就是我们在渗透中使用BURP的时候修改的代理设置。)它的作用是让局域网浏览器自动发现内网中的代理服务器，并且自动设置成该代理来连接企业内网或者互联网。

若系统开启了WPAD，那么主机就会在当前连接的局域网中寻找代理服务器，找到之后会在代理服务器中下载PAC(Proxy Auto-Config，代理自动配置)文件。这个PAC文件会定义用户在访问什么地址的时候使用什么代理。

1. WPAD 实现方式

前面说过，主机会在当前连接的局域网中自动寻找代理服务器，而它的实现方式主要有两种。
(1)DHCP
在DHCP服务器中，252选项是被用于查询或者注册的指针。可以在DHCP服务器中添加一个用于查找WPAD主机的252选项，内容是部署在WPAD主机上的 PAC文件的URL。当客户端 Web浏览器要访问某个地址时，Web浏览器会向 DHCP服务器发送 DHCPINFORM 数据包来查询PAC文件的位置，DHCP服务器收到请求后会返回DHCP ACK数据包(其中包含选项和配置列表)进行响应。在这些返回选项中的252选项就是代理自动配文件的位置，Web浏览器就可以据此执行下载PAC文件请求。

日前大多数内网中已经不再使用DHCP服务器来配置客户端的WPAD，而采用较为简单的 DNS服务器方式。

(2)DNS
这种方式是目前使用较为广泛的。通过DNS方式实现WPAD的原理是:

1. 客户端检测： 当局域网内的客户端（通常是浏览器）需要连接到互联网时，它会尝试自动发现代理服务器设置。首先，它会检查本地网络配置是否已经有手动设置的代理信息；如果没有，则开始自动探测过程。

2. DNS查找： 客户端会在自己的域名前加上wpad.来构造一个完全限定域名（FQDN），例如：如果客户端的DNS域名为example.com，则查找的域名将是wpad.example.com。

3. 请求与响应： 客户端向本地DNS服务器发送查询请求，寻找这个构造出来的wpad域名对应的IP地址或资源记录。DNS服务器如果配置了相应的记录，会返回指向包含PAC（Proxy Auto-Configuration）文件的URL。

4. 获取PAC文件： 客户端收到DNS响应后，访问所指向的URL以下载PAC文件。该文件是一个JavaScript脚本，定义了如何根据不同的URL选择使用哪个代理服务器或者直接连接目标主机。

5. 应用PAC规则： 下载到PAC文件后，客户端按照文件中的规则确定对于特定网络请求应使用的代理设置，然后通过指定的代理服务器进行后续的网页访问和数据传输。

2.PAC文件内容

PAC文件最主要的作用是可以控制浏览器如何处理使用HTTP/HTTPS的流量，其实在每个PAC文件中都会包含一个FindProxyForURL函数，用来定义Web浏览器是直接将流量发送到Internet，还是将流量发送到代理服务器的规则，以下是PAC文件的具体配置内容。

function FindProxyForURL(url, host) {   if (shExpMatch(host, "*.example.com")){return "DIRECT";}if (isInNet(host, "10.0.0.0", "255.255.248.0")){return "PROXY fastproxy.example.com:8080";}return "PROXY proxy.example.com:8080; DIRECT";
}

1）shExpMatch将尝试将主机名或URL与指定的shell表达式匹配，如果匹配则返回true。

2）isInNet 此函数判断主机名的IP地址，如果在指定的子网内则返回true。如果传递了主机名，该函数会将主机名解析为IP地址。

	if (shExpMatch(host, "*.example.com")){return "DIRECT";}

3）如果在host中匹配到了.example.com，就会返回true，DIRECT的意思是直连，那么这句话就是：如果访问了.example.com的URL那么就会直接连接，不走代理。

	if (isInNet(host, "10.0.0.0", "255.255.248.0")){return "PROXY fastproxy.example.com:8080";}

4）如果host在指定的IP范围内，那么就会通过代理fastproxy.example.com:8080进行访问。