Thema: Metasploit - Frage zu Reverse-TCP-Verbindung

erstellt am: 25.12.2017 19:19

Antworten: 2

IT-SecL3vel





dabei seit: 25.12.2017

Beiträge: 3

Metasploit - Frage zu Reverse-TCP-Verbindung
25.12.2017 19:19

Hallo,

auf der Suche nach einem deutschsprachigen IT-Security-Forum bin ich auf dieses gestoßen.
Warum deustch? Weil ich meine Fragen besser auf deutsch als auf englisch stellen kann.
Klar, die besten Anleitungen sind englisch, damit komme ich aber klar!

Nun zurück zum Thema:
Beschäftige mich erst seit kurzem mit Metasploit und würde gerne wissen, ob der Multihandler ständig im standby sein muss um eine Reverse-TCP-Verbindung vom Ziel zu bekommen oder ob man diese Verbindung auch später noch bekommen kann, weil ja die infizierte Datei einmal ausgeführt wurde?

Kann es leider selber noch nicht testen, da ich die Hardware zum Pentest-Labor noch nicht habe - lese mich quasi erst noch ein.
Es stellen sich mir aber schon unbeantwortete Fragen.

Falls die Verbindung nur Zustande kommt, wenn der Multihandler dauernd lauscht, wäre da nicht ein Root-Server angebrachter?
Nun gut, der verwendete Port wäre dann natürlich dort offen....

Antworten

nicht registrierter User


RE: Metasploit - Frage zu Reverse-TCP-Verbindung
29.12.2017 13:32

Hi IT-SecL3vel,

der Stager, also der Payload der auf dem Rechner des angegriffenen System ausgeführt wird, versucht ständig eine Verbindung zur listening IP und zum listening Port aufzubauen. Das heisst auch wenn der Multihandler nicht gestartet wurde, kannst du nachträglich noch eine Meterpreter-Shell aufbauen.
Das Problem dabei ist, dass bei zu langen Warten der Computer des anderen möglicherweise Heruntergefahren wird und du dann trotzdem keine Verbindung hast. Ich empfehle dir sobald du den Stager übertragen hast eine Multihandler-Session zu starten. Du kannst mehrere Sessions starten, das heisst du kannst mehrere Ziele angreifen und in der gleichen Shell sozusagen arbeiten.

Da du neu bist, kann ich dir sagen, dass die ausführbare Datei von MSFvenom meistens von Antivirenprogrammen erkannt wird. Du musst dir also einen eigenen Stager schreiben oder einen von Veil (auf Github zu finden) nehmen. Ich empfehle dir aber einen eigenen zu schreiben, falls du Programmierkenntnisse hast, denn dann kannst du jedes Antivirenprogramm austricksen

Gruss Filip

Antworten

IT-SecL3vel





dabei seit: 25.12.2017

Beiträge: 3

RE: Metasploit - Frage zu Reverse-TCP-Verbindung
29.12.2017 15:57

Hallo Filip,

Danke für die Antwort.

Dachte daran, den Payload als Service auf dem Zielsystem zu installieren, somit wäre ja auch nach einem Neustart eine Verbindung möglich.
Die Frage dazu ist nur, ob auch nach einem Neustart des Zielsystems die Verbindung hergestellt werden kann, wenn zuvor noch keine Multihandler-Session gestartet wurde?
Also der Multihandler nicht gleich ausgeführt wurde um auf die Reverse-Verbindung zu warten.

Ich bin zwar auf dem Gebiet noch neu, aber Veil hatte ich schon gefunden.

PS: Registriere dich doch hier, habe bestimmt noch mehr Fragen.

Antworten

Antwort schreiben

Titel:


Nachricht:

 




Thema abonnieren:

Email:
*Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Antwort abschicken