Реально ли отследить на какой ip отстукует meterpreter сессия

flesh91

Green Team
25.02.2017
35
51
BIT
0
Реально ли отследить на какой ip отстукует meterpreter сессия? Например с помощью wireshark?
 

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
202
Если не понятна суть вопроса, сомневаюсь что у тебя найдется на него ответ.
Когда человеку необходим совет, он описывает суть проблемы понятным, человеческим языком.
Пример :
"На хосте какой то сервис поднимает reverse сессию и передает данные. Необходимо понять - 1) Что за процесс это делает, 2) Какой ip и порт используется, 3) какие данные передаются. Подскажите каким методом это можно реализовать?"

В таких случаях человеку отвечают на поставленный им вопрос тоже корректно -
1) Чтобы узнать какой процесс поднимает сессию, можно воспользоваться taskmanagerом и firwallными решениями с трассировками инфы + так же может помочь сетевой фаззинг если вы закрутите трафик через локальную петлю. Вы так же можете это сделать wiresharkом - но будет слишком много информации и без знаний синтаксиса фильтринга шарка это сделать будет крайне тяжело. Вы можете воспользоваться системами IDS - к примеру snort или suricata и по определенным маркерам там уже есть написаные правила для детектирования подобных вещей. Так же может помочь простенький maltrail
2) Какой ip и порт используется - так же при учете выше указанных пунктов, такая информация будет доступна.
3) Чтобы понять какие данные передаются стоит использовать фаззинг трафика с парсером. Если данные передаются не в шифрованном виде вы сможете их разобрать.

Задавайте вопрос корректно, тогда вам дадут корректный ответ.
 

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
Когда человеку необходим совет, он описывает суть проблемы понятным, человеческим языком.
Мне вот, тоже, такой способ изложения не сильно понятен.
Если не понятна суть вопроса
Если не хотите получить ответы в духе ваших вопросов, учитесь их задавать.
 

flesh91

Green Team
25.02.2017
35
51
BIT
0
Осознал свою ошибку,
Мне вот, тоже, такой способ изложения не сильно понятен.

Если не хотите получить ответы в духе ваших вопросов, учитесь их задавать.
Осознал свою ошибку, (лучше поздно чем никогда),
Детальное описание:

Получен доступ к машине на windows 7, с помощью эксплоита doublepulsar, пэйлоада reverse_tcp, inject делал в explorer.exe. Вопрос: возможно ли отследить как то ip адрес атакующего на машине жертвы? (В логах windows, диспетчере задач, службах, с помощью програм анализа сетевого трафика, и т.д., Где то в открытом виде он отображается, или ip и порт атакующего зашифрованы?)
 

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
202
Осознал свою ошибку,

Осознал свою ошибку, (лучше поздно чем никогда),
Детальное описание:

Получен доступ к машине на windows 7, с помощью эксплоита doublepulsar, пэйлоада reverse_tcp, inject делал в explorer.exe. Вопрос: возможно ли отследить как то ip адрес атакующего на машине жертвы? (В логах windows, диспетчере задач, службах, с помощью програм анализа сетевого трафика, и т.д., Где то в открытом виде он отображается, или ip и порт атакующего зашифрованы?)

В любом расширенном Process monitor можно будет видеть ваш ip и порт, но идентифицировать что это именно reverse-shell таким образом нельзя.
Системы анализа трафика могут обнаружить ваш сеанс на этапе эксплуатации каких либо публичных эксплойтов или маркеров в командах и пакетах. Как я писал выше Snort или Suricata это могут сделать.
В логах так же есть возможность оставить след - но тут все зависит от уровня включенного логирования.
Так же системы поведенческого анализа с функциями firewall подобные атаки обнаруживают.
Серьезные решения типо firepower так же имеют функционал анализа и подобные атаки блокируют. (стандартные шелы msf блокируются - информация проверена и подтверждена.)
 
  • Нравится
Реакции: flesh91 и Ondrik8
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!