Вопрос по эксплоитам через открытые порты

[xejet]

Пока только начал разбиратся в метасплоите и возможно вы знаете ответ хотябы на один вопрос. На моей машине линукс кали, подключился в сеть где около 30 компов, просканировал сеть через nmap, очень много компютеров где открыты порты 135, 139, 445, 49152, 49153, 49158

Нашел в интернете пару видео где проникают через эти порты до командной строки жертвы. Но попробовав на своих жертвах, ни один способ из видеороликов не сработал, уязвимости не работают, возможно на машинах жертв стоит виндовс 8 или 10. Собственно такие вопросы.



1) Каким образом в метасплоите можно просканировать каким то сканером сеть, чтобы он просканил например адрес 192.168.0.105 и сказал, что комп уязвим к таким эксплоитам:
exploit/windows/smb/ms09_050_smb2
exploit/multi/samba/usermap_script
exploit/windows/smb/ms17_010_eternalblue
Это как пример. Чтобы я сразу знал через какой эксплоит атаковать. Есть ли такая возможность в метасплоите, чтобы он просканил все порты или программы которые стоят на компе жертвы, и сказал сам где есть уязвимость и куда нужно атаковать?

2) Каким сканером или чем то еще входящем в состав метасплоит, можно просканировать жертву и чтобы узнать как можно больше данных о жертве, например версия виндовс (плюс какой сервис пак), программы какие есть у жертвы, какие версии программ и все остальное?

3) Как сделать обратный поиск, например просканировал я сеть через nmap, увидел открытый порт 445, как мне теперь в метерпретер сказать, что вот есть открытый порт 445, покажи мне все эксплоиты под этот порт? Либо есть открытый порт 23, покажи все эксплоиты под этот порт?

4) Допустим у жертвы открыт порт 5555, и я точно знаю что на этом порте никакая программа не работает (то есть порт просто открыт). Как мне получить доступ к командной строке или процессам через этот открытый порт, на котором ничего не работает?

 

[BKeaton]

Каким сканером или чем то еще входящем в состав метасплоит, можно просканировать жертву и чтобы узнать как можно больше данных о жертве

Через Nessus или OpenVAS и в самом metasploit есть auxiliary модули для сканирования цели
Никогда не поздно почитать эти статьи))

 

[gushmazuko]

Взгляни на сканер

Ссылка скрыта от гостей

и еще

Ссылка скрыта от гостей

Чтобы скомпрометировать уязвимую машину ты должен знать логин и пароль от раздаваемого ресурса или же раздача должна быть без пароля и с правами на запись.

Компрометируется не сам порт, а программа (сервис) которая работает на этом порту. Т.е если теоретически OpenVPN будет работать на нестандартном порту, скажем на 445 (порт на котором обычно работает SMB) и ты будешь пытаться применить к нему експлоит EternalBlue то ничего не выйдет.
Советую прежде разобраться как работает сеть и сетевые программы, это очень полезно!

 

[xejet]

Компрометируется не сам порт, а программа (сервис) которая работает на этом порту. Т.е если теоретически OpenVPN будет работать на нестандартном порту, скажем на 445 (порт на котором обычно работает SMB) и ты будешь пытаться применить к нему експлоит EternalBlue то ничего не выйдет.
Советую прежде разобраться как работает сеть и сетевые программы, это очень полезно!

Да, я понимаю что взлом идет не самого порта, именно поэтому я и написал порт smb и telnet (445 и 23). Тогда поставлю вопрос по другому. Допустим я знаю что на порту 42777 стоят камеры, хотя стандартный порт для них 37777. Как мне искать в метасплоит эксплоит для камер, писать search dahua? Или открыт 445 порт для smb например, но я знаю только популярный эксплоит eternalblue, но применив эксплоит, оказалось что комп жертвы не уязвим к этому эксплоиту. Возможно на компе жертвы стоит 8 винда, где естественно давно закрыта эта уязвимость. Как мне в метесплоит посмотреть все эксплоиты для smb?

И все же остался вопрос про порт 5555, если там никакая программа на этом порту не работает, то получается толку никакого?

 

[addedie]

сейчас имею такой вывод

(base) admix@buben:~$ smbclient -L 10.10.10.178
Unable to initialize messaging context
Enter WORKGROUP\admix's password:

        Sharename       Type      Comment
        ---------       ----      -------
        ADMIN$          Disk      Remote Admin
        C$              Disk      Default share
        Data            Disk
        IPC$            IPC       Remote IPC
        Secure$         Disk
        Users           Disk
SMB1 disabled -- no workgroup available
(base) admix@buben:~$

посоветуйте SMB брут
гидра обзывается

(base) admix@buben:~$ hydra -L user -P /usr/share/wordlists/rockyou.txt smb://10.10.10.178
Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2020-01-28 05:53:25
[INFO] Reduced number of tasks to 1 (smb does not like parallel connections)
[DATA] max 1 task per 1 server, overall 1 task, 14344399 login tries (l:1/p:14344399), ~14344399 tries per task
[DATA] attacking smb://10.10.10.178:445/
[ERROR] no reply from target smb://10.10.10.178:445/
(base) admix@buben:~$

вот так уже лучше но вывода никакого нету

(base) admix@buben:~$ sudo hydra -T 1 -L user -P /usr/share/wordlists/rockyou.txt smb://10.10.10.178/
Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2020-01-28 07:34:24
[INFO] Reduced number of tasks to 1 (smb does not like parallel connections)
[DATA] max 1 task per 1 server, overall 1 task, 86066394 login tries (l:6/p:14344399), ~86066394 tries per task
[DATA] attacking smb://10.10.10.178:445/
C

ан нет небрутит таже ошибка

[DATA] attacking smb://10.10.10.178:445/                                            
[ERROR] no reply from target smb://10.10.10.178:445/                                
(base) admix@buben:~$

забыл добавить, хост пингуется и в ручную просит ввести пароль от SMB но гидра не брутит почемуто

 

[addedie]

как только начинаю брутить хост валится...перезапускаю на сайте и таже фигня...после гидры он вообще неконектится...чета тут заумно както я непойму
попробовал еще вот такой вариант

(base) admix@buben:~$ smbclient -L 10.10.10.178

Unable to initialize messaging context

Enter WORKGROUP\admix's password:


        Sharename       Type      Comment

        ---------       ----      -------

        ADMIN$          Disk      Remote Admin

        C$              Disk      Default share

        Data            Disk   

        IPC$            IPC       Remote IPC

        Secure$         Disk   

        Users           Disk   

SMB1 disabled -- no workgroup available

(base) admix@buben:~$ mount -t cifs //10.10.10.178/Data /mnt/smb

mount: only root can use "--types" option

(base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Data /mnt/smb

[sudo] пароль для admix:

Password for root@//10.10.10.178/Data:

mount error(2): No such file or directory

Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

(base) admix@buben:~$ ls /mnt/smb

(base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Users /mnt/smb

Password for root@//10.10.10.178/Users:

(base) admix@buben:~$ ls /mnt/smb

Administrator  C.Smith  L.Frost  R.Thompson  TempUser

(base) admix@buben:~$ ls /mnt/smb/Administrator/

ls: чтение каталога '/mnt/smb/Administrator/': Отказано в доступе

(base) admix@buben:~$ ls /mnt/smb/C.Smith/

ls: чтение каталога '/mnt/smb/C.Smith/': Отказано в доступе

(base) admix@buben:~$ ls /mnt/smb/TempUser/

ls: чтение каталога '/mnt/smb/TempUser/': Отказано в доступе

(base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/C$ /mnt/smb

Password for root@//10.10.10.178/C$:

mount error(13): Permission denied

Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

(base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Secure$ /mnt/smb

Password for root@//10.10.10.178/Secure$:

(base) admix@buben:~$ ls /mnt/smb

ls: чтение каталога '/mnt/smb': Отказано в доступе

(base) admix@buben:~$ sudo ls /mnt/smb

ls: чтение каталога '/mnt/smb': Отказано в доступе

(base) admix@buben:~$

но тоже ничего дельного невышло как видно

 

[addedie]

ура первый пасс

(base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Data /mnt/smb
Password for root@//10.10.10.178/Data: 
(base) admix@buben:~$ ls -la /mnt/smb/
IT/         Production/ Reports/    Shared/     
(base) admix@buben:~$ ls -la /mnt/smb/Shared/
Maintenance/ Templates/   
(base) admix@buben:~$ cat /mnt/smb/Shared/Maintenance/Maintenance\ Alerts.txt
There is currently no scheduled maintenance work(base) admix@buben:~$ cat /mnt/smb/Shared/Maintenance/Mainte
(base) admix@buben:~$ cat /mnt/smb/Shared/
Maintenance/ Templates/   
(base) admix@buben:~$ cat /mnt/smb/Shared/Templates/
HR/        Marketing/
(base) admix@buben:~$ cat /mnt/smb/Shared/Templates/HR/Welcome\ Email.txt
We would like to extend a warm welcome to our newest member of staff, <FIRSTNAME> <SURNAME>

You will find your home folder in the following location:
\\HTB-NEST\Users\<USERNAME>

If you have any issues accessing specific services or workstations, please inform the
IT department and use the credentials below until all systems have been set up for you.

Username: *****
Password: *****


Thank you

как теперь подключиться в режим просмотра файлов под этим юзером?ктонить знает?

 

[id2746]

smbclient xx.xx.xx.xx/... -U username

 

[addedie]

спасибо разобрался

 

[neonh4ze]

1) Каким образом в метасплоите можно просканировать каким то сканером сеть, чтобы он просканил например адрес 192.168.0.105 и сказал, что комп уязвим к таким эксплоитам

Во-первых, Metasploit — это все же больше «боевой» фреймворк, нацеленный на проведение эксплуатации, а для recon-этапа есть более сподручные средства (типа

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

, о которых уже было сказано; офигенно мощный Nexpose от девелоперов того же метасплоита; связка Nmap + какой-нибудь обвес). Если прям есть спортивная цель провести сканирование хоста метасплоитом, то добро пожаловать в

Ссылка скрыта от гостей

(или просто locate auxiliary | grep scanner | grep '\.md', чтобы вывести список всех скан-модулей в консоли).

2) Каким сканером или чем то еще входящем в состав метасплоит, можно просканировать жертву и чтобы узнать как можно больше данных о жертве, например версия виндовс (плюс какой сервис пак), программы какие есть у жертвы, какие версии программ и все остальное?

Здесь главный посыл тот же, что и в первом ответе: метасплоит — изначально не сканнер-тулза, поэтому для этих целей лучше юзать что-то другое. С определением версии ОС, например, в большинстве случаев отлично справляется простое Nmap-сканирование (флаг -A, который, в сущности, делает -sC -sV -O --traceroute).

3) Как сделать обратный поиск, например просканировал я сеть через nmap, увидел открытый порт 445, как мне теперь в метерпретер сказать, что вот есть открытый порт 445, покажи мне все эксплоиты под этот порт? Либо есть открытый порт 23, покажи все эксплоиты под этот порт?

Тут можно проявить изобретательность: например, основываясь

Ссылка скрыта от гостей

, можно написать маппинг порт <--> софт и заскриптовать реверс-поиск по ключевым словам из строки софт'а. Но это прям первое, что пришло в голову, готовых инструментов для такого не знаю

4) Допустим у жертвы открыт порт 5555, и я точно знаю что на этом порте никакая программа не работает (то есть порт просто открыт). Как мне получить доступ к командной строке или процессам через этот открытый порт, на котором ничего не работает?

Не совсем корректный вопрос, имхо. Открытый порт всегда привязан к чему-то, будь это веб-морда БД или простой листенер nc.