elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Consulta eternalblue fuera de lan
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Consulta eternalblue fuera de lan  (Leído 4,794 veces)
bl4ckdr4g0n

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Consulta eternalblue fuera de lan
« en: 16 Noviembre 2018, 12:21 pm »

Buenas, que tal muchach@s?. Bueno seguramente no va a faltar quien me diga "este tema ya esta". Pero la verdad? NO LO ENCONTRÉ.  ;-)

Bien, paso a comentarles mi situación. Estoy BLOQUEADO.  Razón?. Vengo tratando de establecer una conexión meterpreter mediante el puerto 445 fuera de mi red local. Y sucede lo siguiente.

Estoy utilizando ngrok, pero ni siquiera por el puerto 4444 (el cual si tengo abierto, lo solicité a mi isp). Sin embargo las sesiones mueren.

Voy a tratar de evacuar todas las dudas posibles para el lector con el fin de recibir la mejor ayuda posible.

1)Tengo la distro de kali de arquitectura 32bits (i386).

2)La configuración la tengo en modo brige. Tanto la ip de mi maquina virtual (lo corro con vmware) como la de mi host (windows 10), tengo en ambas ips el puerto 4444 abierto. (tengo 2 computadoras con kali, y bueno pensaba usar una ip en cada una).

3) Los host con los que estoy realizando las pruebas son vulnerables a eternalblue (de hecho para evacuar la duda de que fuese un host, realicé las pruebas con mas de 10).

4) Actualmente estoy realizando los ataques con NGROK. Donde la sesión si se ejecuta pero muere (Reason Died).

5) Tengo ip publica. Solicite el cambio a mi isp y lo efectuaron correctamente. (Mas allá de que con ngork no debería tener ningun problema en relación a mi ip, ya que ngrok actúa como puente entre la victima y yo). Pero de todas maneras lo comento porque ni siquiera con mi ip publica pude realizar el ataque.

7) Actualicé la version de metasploit-framework a la mas actual (supongo) que es la 4.17.24 (con la anterior, creo que era la 15, me pasaba lo mismo).

Intenté todo lo que se me vino a la mente. Solo falta 1 opción mas. Que es hacer un Downgrade a otra versión de metasploit. Pero bueno si tengo la oportunidad de salvarme de hacer el Downgrade, mejor primero preguntar verdad?. Si a alguien le ocurrió por favor diganme como puedo solucionar este problema. Desde ya MUCHAS GRACIAS :)

Por cierto, paso a detallar las configuraciones:

Multi Handler: LHOST 127.0.0.1 - LPORT 4444 (tambien probe con el 80, y otros mas) - EXITFUNC thread - Set ExitOnSession false .

Payload: LHOST (la que me da ngrok) - LPORT (puerto asignado por NGORK) - Procesos utilizados? TODOS slass.exe, cmd.exe, explorer.exe, svchost.exe.

Exploits utilizados: ms17:010_eternalblue y eternalblue_doublepulsar

Payloads utilizados: windows/meterpreter/reverse_tcp y reverse_http

Adjunto las imagenes para que vean que ocurre. Desde ya Muchas Gracias.



MOD: Imagen adaptada a lo permitido.
« Última modificación: 19 Noviembre 2018, 17:36 pm por MCKSys Argentina » En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Consulta eternalblue fuera de lan
« Respuesta #1 en: 17 Noviembre 2018, 03:15 am »

Pregunta tonta pero obligada.

Desactivaste el Firewall de Windows?

Saludos
En línea

bl4ckdr4g0n

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Consulta eternalblue fuera de lan
« Respuesta #2 en: 19 Noviembre 2018, 13:23 pm »

Buenas !! que tal?. Mil disculpas por la tardanza. Pero no podía darte una respuesta sin realizar las correspondientes pruebas. Te comento, sí, desactivé el firewall de Windows. Aún sigo iniciando sesiones meterpreter que luego se cierran Reason died. Que podrá ser?.

Estoy utilizando ngrok actualmente. Pero no hay manera...

Desde ya muchas gracias por tu respuesta. Saludos.
En línea

antopixel

Desconectado Desconectado

Mensajes: 10



Ver Perfil
Re: Consulta eternalblue fuera de lan
« Respuesta #3 en: 20 Noviembre 2018, 03:39 am »

Muere en cuanto tiempo o ni siquiera conecta? Recuerda que si tienes ngrok free es inestable en ocasiones y aparte dura un tiempo establecido.

Cuando configures eternablue (Nunca lo he usado) pon 127.0.0.1 y no localhost, pues ami con cierto framework me daba fallas colocandolo asi.
« Última modificación: 20 Noviembre 2018, 03:41 am por antopixel » En línea

animanegra

Desconectado Desconectado

Mensajes: 287



Ver Perfil
Re: Consulta eternalblue fuera de lan
« Respuesta #4 en: 20 Noviembre 2018, 09:55 am »

Ehm, no se si me pierdo algo. O he leido demasiado en diagonal, pero segun lo que he entendido ¿Quieres que se conecten a ti y abres un puerto en una direccion IP a la que solo llega internamente tu host? Si abres un puerto en tu IP interna, localhost o 127.0.0.1 solo puedes llegar internamente. (Igual estoy despistado eh que puede ser como he dicho he leido un poco en diagonal.)
En línea


42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Consulta eternalblue fuera de lan
« Respuesta #5 en: 20 Noviembre 2018, 18:15 pm »

Ehm, no se si me pierdo algo. O he leido demasiado en diagonal, pero segun lo que he entendido ¿Quieres que se conecten a ti y abres un puerto en una direccion IP a la que solo llega internamente tu host? Si abres un puerto en tu IP interna, localhost o 127.0.0.1 solo puedes llegar internamente. (Igual estoy despistado eh que puede ser como he dicho he leido un poco en diagonal.)

Si no te vas a tomar el tiempo de leer el post completo, mejor ni comentar.

busca sobre ngrok  :¬¬
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
rub'n


Desconectado Desconectado

Mensajes: 1.217


(e -> λ("live now")); tatuar -> λ("α");


Ver Perfil WWW
Re: Consulta eternalblue fuera de lan
« Respuesta #6 en: 22 Noviembre 2018, 00:08 am »

Pregunta tambien tonta, tienes router o modem, no creo que ha estas alturas no sepas abrir puertos? , o usas negrok xq no puedes abrir, o no tienes los permisos para abrir los puertos ? , si puedes abrirlos hazlo, y no uses ngrok a ver
En línea

rubn0x52.com KNOWLEDGE  SHOULD BE FREE.
If you don't have time to read, you don't have the time (or the tools) to write, Simple as that. Stephen king
bl4ckdr4g0n

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Consulta eternalblue fuera de lan
« Respuesta #7 en: 22 Noviembre 2018, 03:42 am »

Muere en cuanto tiempo o ni siquiera conecta? Recuerda que si tienes ngrok free es inestable en ocasiones y aparte dura un tiempo establecido.

Cuando configures eternablue (Nunca lo he usado) pon 127.0.0.1 y no localhost, pues ami con cierto framework me daba fallas colocandolo asi.

Hola que tal? perdón por tardar en responder. Te comento, en el LHOST del multihandler pongo 127.0.0.1 por el puerto que asigne (ej: 444/80/etc).
En el PAYLOAD asigno el puerto y la url que me asigna ngrok.
Ya que ngrok trabaja en modo puente, entre el servidor remoto y mi maquina kali.

La sesión tarda en caer (tarda un rato), y cuando cae, dice que hay una sesion abierta, y en seguida muere, es decir, no llego a ejecutar ni un solo comando. El viernes me compro un router, ya que mi modem es una porqueria a la hora de hacer un port fowarding y tengo que depende de la empresa para que habiliten los puertos. A ver si así puedo lograr una shell reversa sin tantos problemas. Que opinas?

Ehm, no se si me pierdo algo. O he leido demasiado en diagonal, pero segun lo que he entendido ¿Quieres que se conecten a ti y abres un puerto en una direccion IP a la que solo llega internamente tu host? Si abres un puerto en tu IP interna, localhost o 127.0.0.1 solo puedes llegar internamente. (Igual estoy despistado eh que puede ser como he dicho he leido un poco en diagonal.)

Gracias por contestar y disculpa la tardanza. Te comento porque sí, puede ser que haya sido un poco engorroso en la descripción

Paso a detallarte:

Primero es importante saber que: Mi isp fue quien tuvo que abrir los puertos ellos me pidieron una IP local para habilitar el puero 4444 a esa ip en específico (en mi caso pedí el puerto para 2 ip's los cuales tengo asignados una en mi maquina virtual kali y otra en mi host nativo).

Bueno, vos me decís el tema de la IP. Bien, Ngrok es un puente, por ende en el payload de eternalblue en LHOST va la ip asignada por ngrok (0.tcp.ngrok.io) y en LPORT el puerto de ngrok  (te lo asigna de forma automática).

En donde pongo el 127.0.0.1 (que sí, efectivamente es el localhost) es en el payload del multihandler, con el cual al explotarse la vulnerabilidad en el host remoto automáticamente la información se redirige hacia la ip de ngrok, y luego finalmente pasa a mi router, quien la deriva a mi localhost. No pongo mi ip local (192.168.0.167) porque entonces, ese ataque sería mas directo, y para ese tipo de ataques (que no pasan mediante un proxy), tendría que utilizar la ip pública. Sin embargo, a la hora de intentar este ataque, me es imposible. Ya que como te mencioné al principio, mi ISP es una porqueria y todo es un problema con ellos. (No te das una idea de lo que me costó que abrieran un puerto. En una ocasión llamé para hacer este reclamo y me cambiaron el router a modo bride) LOL, si asi funciona esto.

Por eso, esto lo comento aparte, el viernes me compro un router tplink !!.

Bueno, volviendo al tema, la explotación de la vulnerabilidad se ejecuta correctamente. Y me devuelve una shell meterpreter. Pero así como cae, muere en el primer segundo. Tarda además en llegar, no es que llega enseguida (ya se que eso es debido al proxy).

Lo que creo que puede estar pasando, es que la sesión muere por, como dijo un usuario en otro comentario, la conexión por ngrok, en su versión gratuita, es inestable. Probablemente se esten perdiendo paquetes al momento en que recibe la información mi router.
Tal vez por la distancia (aunque si el servidor es bueno y mi conexión no tiene cortes hasta el momento no debería pasar). Pero bueno, es lo que se me ocurre en estos momentos como razón posible. Que opinas?

Pregunta tambien tonta, tienes router o modem, no creo que ha estas alturas no sepas abrir puertos? , o usas negrok xq no puedes abrir, o no tienes los permisos para abrir los puertos ? , si puedes abrirlos hazlo, y no uses ngrok a ver

Que tal como estás?. Perdón por el tiempo que estuve sin contestar. Sí, sé abrir los puertos, pero paso a comentarte el problema.

Tengo,ante todo MODEM, y tuve que lidiar con mi ISP para que me habilitaran el puerto 4444 (yo se que este puerto también muchos lo tienen filtrado justamente porque es el mas usado por los que hacen sus prácticas con metasploit). Pero si fuese este el caso, no me devolvería una shell inversa, simplemente mi conexion sería rechazada por el host remoto. Por ende, el tema del puerto no es.
Tengo las opciones de port forwarding y port triggering para poder realizar la apertura de puertos, sin embargo, no hubo manera!. Cuando hablé con mi isp ellos habilitaron el puerto 4444, sin embargo cuando voy a paginas como canyouseeme o incluso hago un nmap hacia mi ip, no aparece habilitado. Ahora. A LA HORA DE EFECTUAR EL ATAQUE no me lanza ningún error, pero tampoco crea una shell meterpreter. (A esto lo asocio con la falta del router,, por ende el viernes me compro un tplink), además de esperar 48 horas a que me habilitaran e puerto, tuve que bancarme la ineptitud de la gente de redes que trabaja en el ISP que contraté que me puso el router en modo bridge  :laugh: :laugh: por qué? No sé.

Volviendo al tema de NGROK, sí, utilizo ngrok por este mismo tema. Pero no es mas que un puente. Mi teoría es que se debe a una pérdida de paquetes. Porque la sesión se ejecuta sin embargo (un usuario dijo en una de sus respuestas que ngrok en su versión gratuita es inestable). Calculo en base a ese comentario, que debe ser por esa razón. Sino no le veo explicación lógica. ¿que pensas?

MOD: No hacer triple post. Usa el botón modificar.
« Última modificación: 23 Noviembre 2018, 02:44 am por MCKSys Argentina » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pruebas con EternalBlue y Doublepulsar
Hacking
afganghost 3 4,657 Último mensaje 6 Junio 2017, 17:25 pm
por el-brujo
Vulnerar Windows 7 con Eternalblue & Doublepulsar
Bugs y Exploits
3lyatmaN 0 4,114 Último mensaje 17 Junio 2017, 02:50 am
por 3lyatmaN
MOVIDO: Consulta eternalblue fuera de lan
Hacking
MCKSys Argentina 0 1,847 Último mensaje 19 Noviembre 2018, 17:38 pm
por MCKSys Argentina
Eternalblue-Doublepulsar-Metasploit/
Bugs y Exploits
Biohazard_Load 1 3,864 Último mensaje 24 Abril 2019, 12:29 pm
por UnaiiM
[Duda] Exploit SMB Eternalblue Windows 7 x86/x64
Bugs y Exploits
AnnonymuysByte 5 7,692 Último mensaje 22 Diciembre 2019, 00:56 am
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines