Pretender项目v1.3.0版本发布：Kerberos中继与动态切换攻击的新特性

Pretender是一款功能强大的网络安全工具，主要用于在内部网络环境中执行中间人攻击。它通过模拟DHCP和DNS服务器，能够劫持网络流量并执行各种安全测试操作。最新发布的v1.3.0版本带来了多项重要更新，特别是在Kerberos中继攻击和动态攻击切换方面有了显著增强。

Kerberos中继攻击增强

新版本引入了--spoof-llmnr-name选项（注意：该选项在v1.3.1中已更名为--spoof-response-name），这项功能极大地扩展了Kerberos中继攻击的可能性。在传统的LLMNR/NBT-NS投毒攻击中，攻击者通常只能使用被解析的主机名来构造服务主体名称(SPN)。而通过这个新选项，安全研究人员现在可以指定任意主机名用于SPN构造，即使实际解析的是完全不同的名称。

这项技术的核心价值在于它打破了传统Kerberos中继攻击的限制，使得攻击者能够构造更加灵活的SPN，从而绕过某些安全防护机制。例如，可以构造看起来合法的服务名称，而实际上解析的是完全不同的主机。这种技术特别适用于那些依赖SPN验证的环境，为红队测试提供了新的攻击向量。

动态攻击切换机制

v1.3.0版本新增的--toggle选项解决了长期困扰安全研究人员的一个问题：Windows DHCPv6客户端的一个已知缺陷。在某些Windows版本中，如果DHCPv6服务器长时间不可用，客户端会停止尝试获取地址，导致DHCPv6-DNS接管攻击只能成功一次（直到网络接口重置）。

通过--toggle选项，研究人员可以动态切换名称解析欺骗功能，而保持DHCP服务器持续运行。当按下预设的热键时，所有名称解析查询会被忽略或转发到上游DNS服务器（通过--delegate-ignored-to配置），同时DHCP服务不受影响。这种设计既保证了攻击的持续性，又避免了触发Windows客户端的异常行为。

针对Windows环境的优化

新版本还增加了--ignore-non-microsoft-dhcp选项，专门用于忽略非Windows客户端的DHCPv6消息。这一功能利用了Microsoft DHCP客户端特有的行为特征——在DHCP消息中包含Microsoft的企业编号311。通过过滤非Microsoft客户端，研究人员可以更精准地针对Windows环境进行测试，减少对其他系统的不必要干扰。

网络兼容性改进

在底层网络处理方面，v1.3.0通过使用SO_REUSEADDR和SO_REUSEPORT套接字选项（Linux系统），解决了与现有DNS服务端口冲突的问题。现在，即使系统中已有服务监听DNS端口，Pretender也能正常启动。此外，委托DNS查询现在会保持与原始查询相同的协议，提高了兼容性。

其他重要改进

• 默认DNS查询超时时间增加，提高了在复杂网络环境中的可靠性
• 当使用--no-dhcp-dns选项时，现在也会禁用路由器广告(RA)
• 所有依赖库更新至最新版本，增强了安全性和稳定性

总结

Pretender v1.3.0版本的发布标志着这款工具在Kerberos中继攻击和网络协议处理方面迈出了重要一步。新加入的SPN欺骗功能和动态攻击切换机制为红队测试人员提供了更强大的武器库，而针对Windows环境的优化则使攻击更加精准有效。这些改进不仅增强了工具的功能性，也提高了在各种网络环境中的适应能力，是内网渗透测试领域值得关注的重要更新。