Connessione TCP inversa non riuscita con SearchIndexer.exe sfruttato

Naviga le tue risposte
1

Sto lavorando a uno strumento che sfrutta SearchIndexer.exe su Windows 7 x86 e si connette a un metasploit multi / handler, usando gli stagers TCP standard metasploit inversi.

L'exploit sembra funzionare come previsto nel debugger e funziona per altri processi come calc.exe.

Tuttavia, quando si utilizza SearchIndexer.exe, le connessioni TCP alla mia istanza metasploit falliscono (nessun traffico inviato) e sulla vittima è possibile vedere quanto segue negli eventi in procmon ( link ):

Due domande:

  • Ci sono processi in Windows 7 che non sono autorizzati a stabilire connessioni TCP?
  • In caso contrario, come posso eseguire il debug perché la connessione TCP (chiamata) non riesce?
posta Carsten Maartmann-Moe 18.01.2014 - 17:11
fonte

1 risposta

1

Bene, rispondendo alla mia domanda. SearchIndexer e altri servizi sono protetti da Protezione avanzata dei servizi di Windows . Una parte della funzionalità WSH è costituita dalle regole del firewall per il servizio in base al modo in cui il servizio deve comunicare. Quindi se il servizio non dovrebbe comunicare attraverso la rete, gli sviluppatori potrebbero limitare la sua capacità di connettersi / ricevere dati sulla rete.

Le regole del firewall WSH vengono verificate prima e indipendentemente dal firewall di Windows, quindi anche se la disattivi, saranno effettive.

L'effetto di questo è che SearchIndexer.exe non è autorizzato a stabilire connessioni in uscita.

Fortunatamente, le regole del firewall WSH sono impostate in una chiave di registro, sotto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable . L'eliminazione della sottochiave SearchIndexer rende l'exploit perfettamente funzionante:

    
risposta data 01.02.2014 - 18:23
fonte

Leggi altre domande sui tag

Qual è il migliore DPAPI o HSM? Perché gli utenti OSX del mio sito solo TLS vengono invitati a fornire un certificato client?