elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Duda con vulnerabilidad de una RDP (Puerto 445)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda con vulnerabilidad de una RDP (Puerto 445)  (Leído 3,668 veces)
nyxploit

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Duda con vulnerabilidad de una RDP (Puerto 445)
« en: 20 Diciembre 2022, 21:52 pm »

Hola a todos.

Primero hacerles saber que soy nuevo en esto de la ciberseguridad y que ignoro muchas cosas, así que disculpen.

Yendo rapido al punto. Les comento que tengo acceso a un par de RDPs (ip publica) con sistema operativo Windows 10 y la otra con Windows Server 2012, la dos con credenciales de "invitado"; o sea que no necesitan contraseña y cualquier persona en cualquier parte del mundo puede acceder a ellas. El punto es que, hace unas semanas vi que alguien se conectaba a las RDP's sacándome persistentemente de la sesión (porque como dije, cualquiera puede acceder a ellas) y yo al percatarme de eso, decidí descargar un programa llamado ClearLock para poner una especie de seguridad y que el intruso solo pueda conectarse, más no tenga acceso a tocar nada. Pero la sorpresa me la llevé cuando de la nada vi que la sesión de windows se cerró, volví a entrar a la RDP y el intruso seguía conectandose, incluso hubo un punto donde se cerraba la sesión, volvía a conectarme y la sesión se cerraba al instante, y ahi fue cuando me di cuenta que ya esto se trataba de un juego y que el intruso podía hacer lo que quiera en la RDP, ya que también me di cuenta que en el escritorio habían archivos que de la nada aparecian, yo los borraba y el tipo los volvía a subir (en mi cara).

Escanee las dos RDP's para ver que ip's estaban conectadas a ellas y hubo la coincidencia de que en las dos, una ip de Rusia estaba conectada a las RDP's mediante el puerto 445, y obviamente ahi me di cuenta de que esa era la ip del intruso, el cual creo yo, seguro tiene acceso a alguna shell remota para poder ejecutar por ejemplo, el codigo de "logoff" el cual es la que usa para cerrar la sesión. Así que con esto está descartado de que se trate de algún tipo de troyano porque además la maquina tiene un buen antivirus y me aseguré de ver en regedit que no haya ningun archivo extraño que se ejecute al iniciar la sesión.

He visto tutoriales de como acceder a una RDP con metasploit, he seguido todos los pasos, he abierto los puertos, etc, etc. Usé el EternalBlue y BlueKeep pero no he podido acceder ya que todas me dicen que el objetivo no es vulnerable y al final solo obtengo la respuesta de "exploit completed but no session was created". Y bueno, fue ahi cuando me estanqué de ver cual era el método que usaba el intruso para acceder a las RDP's mediante shell remota ya que no encontré más información que pueda seguir, porque además los tutoriales solo son sobre sistemas operativos antiguos como windows 7 o windows server 2008.

Y bueno recurro a este foro para ver si es que alguien tiene la respuesta a mi duda. Gracias de antemano

Les dejo el scan que le hice con nmap a una de las RDP:




« Última modificación: 21 Diciembre 2022, 00:39 am por nyxploit » En línea

Falo Zipo Pixote

Desconectado Desconectado

Mensajes: 143


Ver Perfil
Re: Duda con vulnerabilidad de una RDP (ip publica)
« Respuesta #1 en: 20 Diciembre 2022, 22:42 pm »

...Y bueno recurro a este foro para ver si es que alguien tiene la respuesta a mi duda...

Que es ... ¿cuál?
Porque al final después de mucho rollo.. :rolleyes:...
no dices ¿cuál es tu pregunta concreta? :silbar:
En línea

nyxploit

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Duda con vulnerabilidad de una RDP (ip publica)
« Respuesta #2 en: 20 Diciembre 2022, 22:50 pm »

Que es ... ¿cuál?
Porque al final después de mucho rollo.. :rolleyes:...
no dices ¿cuál es tu pregunta concreta? :silbar:


Ah! perdón si no fui claro con mi pregunta.

Mi duda es: ¿qué método habrá usado el intruso para tener una especie de shell remota de la RDP y ejecutar el comando "logoff" para cerrar la sesión, ya que no he tenido éxito con el BleeKeep ni el EternalBlue, quizá existe algún nuevo metodo que desconozco.
En línea

BloodSharp


Desconectado Desconectado

Mensajes: 814


¡ Hiperfoco !


Ver Perfil WWW
Re: Duda con vulnerabilidad de una RDP (ip publica)
« Respuesta #3 en: 20 Diciembre 2022, 23:37 pm »

Mi duda es: ¿qué método habrá usado el intruso para tener una especie de shell remota de la RDP y ejecutar el comando "logoff" para cerrar la sesión, ya que no he tenido éxito con el BleeKeep ni el EternalBlue, quizá existe algún nuevo metodo que desconozco.

Bienvenido al foro, Windows únicamente permite una sola sesión en el puerto asignado al Remote Desktop Protocol. Por lo que cada vez que alguien se conecte, este desconectará al usuario que previamente estaba conectado...

Imagen de ejemplo:



B#
En línea



nyxploit

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Duda con vulnerabilidad de una RDP (ip publica)
« Respuesta #4 en: 21 Diciembre 2022, 00:01 am »

Citar
Bienvenido al foro, Windows únicamente permite una sola sesión en el puerto asignado al Remote Desktop Protocol. Por lo que cada vez que alguien se conecte, este desconectará al usuario que previamente estaba conectado...

B#

Sí, entiendo, pero ese mensaje sale si es que se conecta otro usuario con otra credencial (por ejemplo el usuario "Admin", y en este caso la credencial para entrar a esta RDP  es id: Guest sin contraseña, y la RDP no permite otra conexión remota con el mismo usuario, así que como en este caso solo es con ese usuario "Guest" solo se puede desconectar mi sesion de RDP si es que el intruso se conecta, más no se cierra la sesión de Windows.

El problema es que cuando yo bloqueo el acceso con el programa ClearLock para que el intruso no pueda tocar nada, él utiliza el comando logoff sin estar conectado a la RDP, porque yo soy el que en ese momento está conectado al puerto 3389, por eso mencioné que puede que esté ejecutando remotamente el  comando "logoff" desde el puerto al que él está conectado (445)

PD: Además, precisar que cuando sale el mensaje del screenshot que pusiste, Una vez que marcas el "SI" el usuario conectado tiene 30 segundos para responder a esa solicitud de permitir el acceso a otra persona. Y en mi caso se cierra la sesión sin mensaje previo, como si yo mismo hubiese puesto el comando "logoff".
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Duda Puerto paralelo
Electrónica
- TuX - 4 3,372 Último mensaje 17 Junio 2007, 02:49 am
por moikanosb
Provocar vulnerabilidad puerto 445
Hacking
Beginner_Hax0r 4 9,503 Último mensaje 13 Febrero 2010, 00:07 am
por Shell Root
duda puerto serie... « 1 2 »
Hardware
Sk9ITk5Z 13 9,124 Último mensaje 3 Marzo 2011, 20:24 pm
por Sk9ITk5Z
Vulnerabilidad Puerto 25
Seguridad
apdez87 0 3,432 Último mensaje 26 Abril 2018, 14:35 pm
por apdez87
duda puerto pci express
Hardware
General Dmitry Vergadoski 8 5,545 Último mensaje 15 Junio 2022, 17:56 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines