Tema destacado:
 Autor
|
Tema: Consulta: Que exploit hay para port 139? (Leído 5,216 veces)
|
grx0
 Desconectado
Mensajes: 132
|
Hola gente del foro, les consulto por la siguiente duda.
Vengo hace un tiempo analizando una red, la cual ya consegui alunos accesos, pero uno de los host, es un server el cual corre Windows Workstation, el cual tiene los siguientes port abiertos: (Languard)
(TCP)
139 [ Netbios-ssn => NETBIOS Session Service ]
5800 [ VNC => Remote Control Software ]
5900 [ Microsoft VNC ]
(UDP)
137 [ Netbios-NS => Netbios Name Service ]
138 [ Netbios-DGM => Netbios Datagram Service ]
NETBIOS names:
MONITORED - Workstation Service
VELGATECH - Domain Name
MONITORED - Messenger Service
VELGATECH. - Messenger Service
Username : VELGATECHRED
MAC : 00-A1-B3-12-C5-09 (EDIMAX TECHNOLOGY CO., LTD.)
Esto es lo que tira Languard, pero pruebo conectar via HTTP/Telnet a los 2 Port de VNC, pero no responde nada, asique me queda el TCP 139, y queria saber que vulnerabilidad existe para este servicio, si es ISSAS serviria?, el Host no tiene TCP 445 (PnP creo) abierto, alguna idea? gracias
|
|
|
|
|
En línea
|
|
|
|
carlipus
Desconectado
Mensajes: 358
|
Pero VNC es un programa de asistencia remota, como quieres conectar por http? o.O Tendras que bajarte el programa del VNC (control remoto) y meter su Ip aver si puedes conectar...aunque tendrá password lo mas seguro.
Y lo del puerto 139, sabes que puerto es ESE?-> 139 [ Netbios-ssn => NETBIOS Session Service ]
Netbios..leete algun manual sobre Netbios...y mira a ver si tiene entrada <20>, y entraras a los recursos compartidos del Pc
Ya sabes, bajate el Vnc, prueba a ver si no te pide password..
Lee manual sobre Nerbios(139) recursos compartidos..cualquier duda, ya sabes.
Saludos!
|
|
|
|
« Última modificación: 15 Septiembre 2005, 13:40 por carlipus »
|
En línea
|
|
|
|
grx0
Desconectado
Mensajes: 132
|
Hola gracias por responder, te comento que me referia con usaar HTTP/Telnet en los VNC por el hecho simple de que via Telnet por ejemplo conectas al VNC y te responde con unos caracteres raros generalmente, en este caso no, o por HTTP te manda a una pagina del sistema para logiar, en este caso tampoco. Ya ante nada habia probado con el cliente de VNC de Windows XP y otro mas y no paso nada, ni conecta. Por lo que los descarto. Y respecto al tema Netbios, si tuviera algo compartido el languard me lo muestra en el resultado del scan, igual probe conectar directo \\IP y ni conecta. Por lo que tambien descarto cosas compartidas, solo me muestra info de la sesion, descripta en el primer mensaje. Por lo que me queda algun exploit para el TCP 139, alguna idea?, gracias
|
|
|
|
|
En línea
|
|
|
|
|
Man-In-the-Middle
|
XD, los post no queman http://205.192.100.32:5800te conectas por web, Todos tienen password, si puedes usa un crakeador de pasword eon ine Crack vnc, pero no funciona, amenos que seas uan ver antigua, y por netbios(la veo bien, pero bien pendeja. |
|
|
|
|
En línea
|
|
|
|
grx0
Desconectado
Mensajes: 132
|
Hola amigo, deje aclarado en el post anterior que el port VNC 5800/5900 no responden, no se puede entrar via HTTP, ni conectar con un cliente, por lo que los descarto. Y el netbios no tiene nada compartido, solo me muestra el nobmre del equipo, la MAC, el nombre del usuario, nada mas.. Pero si tiene una sesion de netbios corriendo, ahora la cosa es si hay algun exploit o vulnerabilidad para este servicio (port 139) que no requiera tener algo compartido?, gracas
|
|
|
|
|
En línea
|
|
|
|
grx0
Desconectado
Mensajes: 132
|
Hola, me puedes decir que es eso de la entrada <20> del netbios?, onde leer especificamente eso, gracias
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Si existirian en el equipo ese tipo de entradas el mismo languard te hubiese alertado sobre ello y te hubiese puesto todos los recursos compartido para que ingreses con un click, o para que insertes un pass...
Si languard te mostro la sesion netbios y no te devolvio ninguna unidad compartida, olvidate de netbios para entrar a ese sistema.
Saludo
|
|
|
|
|
En línea
|
|
|
|
carlipus
Desconectado
Mensajes: 358
|
Pos ya sabes...dificilmente es jodio si no hay entrada <20> como ya dje, y exploits para 139...pos yo creo q no...pro no te lo aseguro
Suerte
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
 |
