Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 24-04-2011 22:11:14

Lucas021
Membre Hyperactif
Inscription : 05-11-2010
Messages : 52

Metasploit: Reverse DNS et HTTPS ?

Salut à tous smile
En jouant un peux avec Metasploit ce matin, j'ai remarqué les deux types de connexion que l'on pouvait utiliser pour obtenir un shell ou une session meterpreter: le Reverse tcp Dns et le Reverse Https. en cherchant sur internet je n'ai pas vraiment compris a quoi ces connexion servait vraiment mais j'ai pensée a du Tunneling et que donc Metasploit encapsuler son protocole dans des connnexion DNS et HTTP ce qui servirait je pense a ByPasser les Firewall, mais je suis pas sur du tout...
Donc si quelqu'un à des explication la dessus je suis preneur smile
Merci

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 24-04-2011 22:57:45

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Metasploit: Reverse DNS et HTTPS ?

Le reverse DNS permet d'utiliser des noms d'hôtes plutôt que des IP pour l'adresse de retour, donc ça règle le problème des Ip dynamiques (pour l'attaquant). Par exemple, tu peux combiner ça avec des services genre DynDNS (ou no-ip, ou...). Avec ce payload tu peux utiliser n'importe quel port, le trafic n'est pas encapsulé.

Le payload HTTPS je le connais mal mais je pense qu'il encapsule effectivement tout en HTTP avec du SSL par dessus, dans le but de passer les firewalls. Je n'ai jamais analysé le trafic sortant pour vérifier si c'est vraiment une encapsulation ou "juste" une connexion en SSL sur le port 443, mais dans les 2 cas ça devrait être suffisamment discret smile

Hors Ligne

#3 25-04-2011 07:59:28

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Metasploit: Reverse DNS et HTTPS ?

Oui en effet, le reverse_https qui en plus d’utiliser HTTP avec SSL permet aussi la résolution de noms de domaines, mais il utilise le port 8443 au lieu de 4444 par défaut, que tu peux modifier. Son but reste pour moi flou aussi, disant c’est pour mieux se noyer dans le trafic, certains Rootkits utilisent le HTTPS. Par exemple les contrôles active/passiveX de certains exploits de type browser peuvent faire exécuter via le navigateur de la cible un meterpreter, du coup la victime apercevra HTTPS dans la barre d’adresse lui faisant croire  que c’est une connexion sécurisée wink

Hors Ligne

#4 25-04-2011 11:34:47

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Metasploit: Reverse DNS et HTTPS ?

du coup la victime apercevra HTTPS dans la barre d’adresse lui faisant croire  que c’est une connexion sécurisée

Je crois pas,enfin j'ai jamais remarqué, je pense plutôt qu'il utilise le https (ssl) pour encrypter les communication mais jusqu'a faire apparaitre un cadenas(connexion valide donc) dans la barre d'adresse j'y crois pas trop d'autant plus que le "reverse_https" n'est pas spécifique aux navigateurs(ie que on peut générer un payload "reverse_https  ")  , a vérifier..

Dernière modification par raylook (25-04-2011 11:42:22)


fete.gif

Hors Ligne

#5 25-04-2011 17:34:49

Lucas021
Membre Hyperactif
Inscription : 05-11-2010
Messages : 52

Re : Metasploit: Reverse DNS et HTTPS ?

Ok merci pour vos réponse smile
donc le Reverse tcp Dns n'a aucun rapport avec le DNS Tunneling
Sinon vu que le Reverse HTTPS utilise le Tunneling est ce qu'il faut utiliser un logiciel spécial qui désencapsulerait
les paquets ou Metasploit gère tout sa ?

Hors Ligne

#6 25-04-2011 17:45:46

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Metasploit: Reverse DNS et HTTPS ?

Metasploit gère tout a merveille wink.
N'hésite pas a lire le tuto de HD.moore a ce sujet wink : Persistent Meterpreter over Reverse HTTPS


fete.gif

Hors Ligne

#7 25-04-2011 17:49:24

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Metasploit: Reverse DNS et HTTPS ?

Rien à voir avec le DNS tunneling, effectivement. C'est une fonctionnalité qui a été réclamée à l'équipe de dévloppement, mais à ma connaissance ça n'a pas encore été implémenté. Si tu veux allier Metasploit au DNS tunneling, tu peux jeter un oeil ici ça me paraît une bonne base --> Weaponizing dnscat with shellcode and Metasploit

Pour le "décryptage" HTTPS c'est Metasploit qui gère ça en sortie je pense. En tout cas, dans l'exemple classique du meterpreter over https, il a l'air de se débrouiller tout seul --> Persistent Meterpreter over Reverse HTTPS
Si tu fais un essai avec ce payload, ça m'intéresse de savoir si Wireshark voit ça comme du http ou "juste" du SSL smile

[Edit] Arf, grillé, ça m'apprendra à donner des détails tongue

Hors Ligne

#8 25-04-2011 19:42:10

Lucas021
Membre Hyperactif
Inscription : 05-11-2010
Messages : 52

Re : Metasploit: Reverse DNS et HTTPS ?

Ok merci
Sinon pour le DNS Tunneling j'avais lus sa: Reverse DNS Tunneling Staged Loading Shellcode

Alors j'ai créer le payload reverse_https et il fonctionne normalement quand le firewall est désactivé et apparemment Wireshark détecte a connexion en SSL (pas trop sur), par contre quand j'active le firewall et même avec le port 443 autorisé la connexion ne passe pas  mais quand j'autorise le port 8443 alors la connexion passe.

Et pour l'article Persistent Meterpreter over Reverse HTTPS je suis en train de le lire mais je le comprend a moitié à cause de mon niveaux en Anglais tongue

Hors Ligne

#9 26-04-2011 03:19:42

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Metasploit: Reverse DNS et HTTPS ?

A vérifier donc, même si qu’autrefois j’essayais d’approfondir cet outils, j’ai découvert cette manip suite à un test avec un ami depuis un autre pays.

Metepreter permet de crypter lui-même son trafic, mais je ne trouve plus la commande  ‘initcrypt’, donc je ne sais pas si le fait automatiquement ou pas, à prendre en compte lors de l’analyse.

[Edit] t'inquiètes, ça m'apprendra à donner plus de détails tongue

Dernière modification par Fuji (26-04-2011 03:36:36)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
2 143 04-12-2016 21:54:52 par GreyBird
Reverse Firmware HG532e par silentdev
4 612 26-08-2016 13:14:20 par Seska
0 1149 19-04-2016 18:23:42 par 2tlopez51
DNS spoofing + https par guillaume
0 640 04-01-2016 23:58:43 par guillaume
0 2832 13-07-2015 21:15:05 par JeanCharles

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.027 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]