Consulta eternalblue fuera de lan

Iniciado por bl4ckdr4g0n, 16 Noviembre 2018, 12:21 PM

0 Miembros y 1 Visitante están viendo este tema.

bl4ckdr4g0n

Buenas, que tal muchach@s?. Bueno seguramente no va a faltar quien me diga "este tema ya esta". Pero la verdad? NO LO ENCONTRÉ.  ;-)

Bien, paso a comentarles mi situación. Estoy BLOQUEADO.  Razón?. Vengo tratando de establecer una conexión meterpreter mediante el puerto 445 fuera de mi red local. Y sucede lo siguiente.

Estoy utilizando ngrok, pero ni siquiera por el puerto 4444 (el cual si tengo abierto, lo solicité a mi isp). Sin embargo las sesiones mueren.

Voy a tratar de evacuar todas las dudas posibles para el lector con el fin de recibir la mejor ayuda posible.

1)Tengo la distro de kali de arquitectura 32bits (i386).

2)La configuración la tengo en modo brige. Tanto la ip de mi maquina virtual (lo corro con vmware) como la de mi host (windows 10), tengo en ambas ips el puerto 4444 abierto. (tengo 2 computadoras con kali, y bueno pensaba usar una ip en cada una).

3) Los host con los que estoy realizando las pruebas son vulnerables a eternalblue (de hecho para evacuar la duda de que fuese un host, realicé las pruebas con mas de 10).

4) Actualmente estoy realizando los ataques con NGROK. Donde la sesión si se ejecuta pero muere (Reason Died).

5) Tengo ip publica. Solicite el cambio a mi isp y lo efectuaron correctamente. (Mas allá de que con ngork no debería tener ningun problema en relación a mi ip, ya que ngrok actúa como puente entre la victima y yo). Pero de todas maneras lo comento porque ni siquiera con mi ip publica pude realizar el ataque.

7) Actualicé la version de metasploit-framework a la mas actual (supongo) que es la 4.17.24 (con la anterior, creo que era la 15, me pasaba lo mismo).

Intenté todo lo que se me vino a la mente. Solo falta 1 opción mas. Que es hacer un Downgrade a otra versión de metasploit. Pero bueno si tengo la oportunidad de salvarme de hacer el Downgrade, mejor primero preguntar verdad?. Si a alguien le ocurrió por favor diganme como puedo solucionar este problema. Desde ya MUCHAS GRACIAS :)

Por cierto, paso a detallar las configuraciones:

Multi Handler: LHOST 127.0.0.1 - LPORT 4444 (tambien probe con el 80, y otros mas) - EXITFUNC thread - Set ExitOnSession false .

Payload: LHOST (la que me da ngrok) - LPORT (puerto asignado por NGORK) - Procesos utilizados? TODOS slass.exe, cmd.exe, explorer.exe, svchost.exe.

Exploits utilizados: ms17:010_eternalblue y eternalblue_doublepulsar

Payloads utilizados: windows/meterpreter/reverse_tcp y reverse_http

Adjunto las imagenes para que vean que ocurre. Desde ya Muchas Gracias.



MOD: Imagen adaptada a lo permitido.

AlbertoBSD

Pregunta tonta pero obligada.

Desactivaste el Firewall de Windows?

Saludos
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

bl4ckdr4g0n

Buenas !! que tal?. Mil disculpas por la tardanza. Pero no podía darte una respuesta sin realizar las correspondientes pruebas. Te comento, sí, desactivé el firewall de Windows. Aún sigo iniciando sesiones meterpreter que luego se cierran Reason died. Que podrá ser?.

Estoy utilizando ngrok actualmente. Pero no hay manera...

Desde ya muchas gracias por tu respuesta. Saludos.

antopixel

#3
Muere en cuanto tiempo o ni siquiera conecta? Recuerda que si tienes ngrok free es inestable en ocasiones y aparte dura un tiempo establecido.

Cuando configures eternablue (Nunca lo he usado) pon 127.0.0.1 y no localhost, pues ami con cierto framework me daba fallas colocandolo asi.

animanegra

Ehm, no se si me pierdo algo. O he leido demasiado en diagonal, pero segun lo que he entendido ¿Quieres que se conecten a ti y abres un puerto en una direccion IP a la que solo llega internamente tu host? Si abres un puerto en tu IP interna, localhost o 127.0.0.1 solo puedes llegar internamente. (Igual estoy despistado eh que puede ser como he dicho he leido un poco en diagonal.)

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

.:UND3R:.

Cita de: animanegra en 20 Noviembre 2018, 09:55 AM
Ehm, no se si me pierdo algo. O he leido demasiado en diagonal, pero segun lo que he entendido ¿Quieres que se conecten a ti y abres un puerto en una direccion IP a la que solo llega internamente tu host? Si abres un puerto en tu IP interna, localhost o 127.0.0.1 solo puedes llegar internamente. (Igual estoy despistado eh que puede ser como he dicho he leido un poco en diagonal.)

Si no te vas a tomar el tiempo de leer el post completo, mejor ni comentar.

busca sobre ngrok  :¬¬

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

rub'n

Pregunta tambien tonta, tienes router o modem, no creo que ha estas alturas no sepas abrir puertos? , o usas negrok xq no puedes abrir, o no tienes los permisos para abrir los puertos ? , si puedes abrirlos hazlo, y no uses ngrok a ver


rubn0x52.com KNOWLEDGE  SHOULD BE FREE!!!
If you don't have time to read, you don't have the time (or the tools) to write, Simple as that. Stephen

bl4ckdr4g0n

#7
Cita de: antopixel en 20 Noviembre 2018, 03:39 AM
Muere en cuanto tiempo o ni siquiera conecta? Recuerda que si tienes ngrok free es inestable en ocasiones y aparte dura un tiempo establecido.

Cuando configures eternablue (Nunca lo he usado) pon 127.0.0.1 y no localhost, pues ami con cierto framework me daba fallas colocandolo asi.

Hola que tal? perdón por tardar en responder. Te comento, en el LHOST del multihandler pongo 127.0.0.1 por el puerto que asigne (ej: 444/80/etc).
En el PAYLOAD asigno el puerto y la url que me asigna ngrok.
Ya que ngrok trabaja en modo puente, entre el servidor remoto y mi maquina kali.

La sesión tarda en caer (tarda un rato), y cuando cae, dice que hay una sesion abierta, y en seguida muere, es decir, no llego a ejecutar ni un solo comando. El viernes me compro un router, ya que mi modem es una porqueria a la hora de hacer un port fowarding y tengo que depende de la empresa para que habiliten los puertos. A ver si así puedo lograr una shell reversa sin tantos problemas. Que opinas?


Cita de: animanegra en 20 Noviembre 2018, 09:55 AM
Ehm, no se si me pierdo algo. O he leido demasiado en diagonal, pero segun lo que he entendido ¿Quieres que se conecten a ti y abres un puerto en una direccion IP a la que solo llega internamente tu host? Si abres un puerto en tu IP interna, localhost o 127.0.0.1 solo puedes llegar internamente. (Igual estoy despistado eh que puede ser como he dicho he leido un poco en diagonal.)

Gracias por contestar y disculpa la tardanza. Te comento porque sí, puede ser que haya sido un poco engorroso en la descripción

Paso a detallarte:

Primero es importante saber que: Mi isp fue quien tuvo que abrir los puertos ellos me pidieron una IP local para habilitar el puero 4444 a esa ip en específico (en mi caso pedí el puerto para 2 ip's los cuales tengo asignados una en mi maquina virtual kali y otra en mi host nativo).

Bueno, vos me decís el tema de la IP. Bien, Ngrok es un puente, por ende en el payload de eternalblue en LHOST va la ip asignada por ngrok (0.tcp.ngrok.io) y en LPORT el puerto de ngrok  (te lo asigna de forma automática).

En donde pongo el 127.0.0.1 (que sí, efectivamente es el localhost) es en el payload del multihandler, con el cual al explotarse la vulnerabilidad en el host remoto automáticamente la información se redirige hacia la ip de ngrok, y luego finalmente pasa a mi router, quien la deriva a mi localhost. No pongo mi ip local (192.168.0.167) porque entonces, ese ataque sería mas directo, y para ese tipo de ataques (que no pasan mediante un proxy), tendría que utilizar la ip pública. Sin embargo, a la hora de intentar este ataque, me es imposible. Ya que como te mencioné al principio, mi ISP es una porqueria y todo es un problema con ellos. (No te das una idea de lo que me costó que abrieran un puerto. En una ocasión llamé para hacer este reclamo y me cambiaron el router a modo bride) LOL, si asi funciona esto.

Por eso, esto lo comento aparte, el viernes me compro un router tplink !!.

Bueno, volviendo al tema, la explotación de la vulnerabilidad se ejecuta correctamente. Y me devuelve una shell meterpreter. Pero así como cae, muere en el primer segundo. Tarda además en llegar, no es que llega enseguida (ya se que eso es debido al proxy).

Lo que creo que puede estar pasando, es que la sesión muere por, como dijo un usuario en otro comentario, la conexión por ngrok, en su versión gratuita, es inestable. Probablemente se esten perdiendo paquetes al momento en que recibe la información mi router.
Tal vez por la distancia (aunque si el servidor es bueno y mi conexión no tiene cortes hasta el momento no debería pasar). Pero bueno, es lo que se me ocurre en estos momentos como razón posible. Que opinas?


Cita de: rub'n en 22 Noviembre 2018, 00:08 AM
Pregunta tambien tonta, tienes router o modem, no creo que ha estas alturas no sepas abrir puertos? , o usas negrok xq no puedes abrir, o no tienes los permisos para abrir los puertos ? , si puedes abrirlos hazlo, y no uses ngrok a ver

Que tal como estás?. Perdón por el tiempo que estuve sin contestar. Sí, sé abrir los puertos, pero paso a comentarte el problema.

Tengo,ante todo MODEM, y tuve que lidiar con mi ISP para que me habilitaran el puerto 4444 (yo se que este puerto también muchos lo tienen filtrado justamente porque es el mas usado por los que hacen sus prácticas con metasploit). Pero si fuese este el caso, no me devolvería una shell inversa, simplemente mi conexion sería rechazada por el host remoto. Por ende, el tema del puerto no es.
Tengo las opciones de port forwarding y port triggering para poder realizar la apertura de puertos, sin embargo, no hubo manera!. Cuando hablé con mi isp ellos habilitaron el puerto 4444, sin embargo cuando voy a paginas como canyouseeme o incluso hago un nmap hacia mi ip, no aparece habilitado. Ahora. A LA HORA DE EFECTUAR EL ATAQUE no me lanza ningún error, pero tampoco crea una shell meterpreter. (A esto lo asocio con la falta del router,, por ende el viernes me compro un tplink), además de esperar 48 horas a que me habilitaran e puerto, tuve que bancarme la ineptitud de la gente de redes que trabaja en el ISP que contraté que me puso el router en modo bridge  :laugh: :laugh: por qué? No sé.

Volviendo al tema de NGROK, sí, utilizo ngrok por este mismo tema. Pero no es mas que un puente. Mi teoría es que se debe a una pérdida de paquetes. Porque la sesión se ejecuta sin embargo (un usuario dijo en una de sus respuestas que ngrok en su versión gratuita es inestable). Calculo en base a ese comentario, que debe ser por esa razón. Sino no le veo explicación lógica. ¿que pensas?

MOD: No hacer triple post. Usa el botón modificar.