[Stillmatic]

Nabbend zusammen!
Ich probiere gerade eine paar Exploits in meinen Virtuellen Maschinen aus. Dazu benutze ich Metasploit. Ein sehr umfangreichen gute Programm um zu verstehen wie Hacker vorgehen.
Hierzu habe ich eine Frage, wobei ich nicht weiß ob jemand von euch sich damit auskennt.
Ich benutze einen Payload namens reverse_TCP.
Mich würde interessieren was genau bei einem Reverse_TCP passiert.
Ich finde im Internet nicht wirklich Informationen hierzu.
Kann mir einer von euch erklären was genau bei einer REVERSE_TCP passiert?

MFG Stillmatic

[tavoc]

Hallo,

reverse tcp ist kein payload, sondern die art und weise, wie sich der infizierte Rechner mit dem "Hacker" verbindet.

Bei reverse TCP macht also der Opfer PC eine Verbindung zum Angreifer auf und umgeht so z.b. einige Firewalls.
Im Idealfall hast du dann eine Konsole, und kannst auf dem Opfer befehle ausführen.

Der gegensatz dazu wäre eine normale tcp verbindung, aber das blocken halt die meisten firewalls, da ungefragt keine Verbindung angenommen werden kann.
Bei reverse tcp musst du aber einen listener prozess starten, damit das opfer sich zu dir verbinden kann.


Grüße

tavoc

EDIT: zum Üben kannst du auch fertige VMs nehmen, wie z.b. Metasploitable.
Da ist eine verwundbare VM, die sich speziell für diesen Zweck eignet. Vorallem gibt es da howtos.
Ansonsten wirst du ja wahrscheinlich Backtrack benutzten? Zumindest ist da Metasploit gut integriert.

Dieser Beitrag wurde von tavoc bearbeitet: 28. Februar 2011 - 15:54

[Stillmatic]

Hi fanke für deine Antwort.

Also wird eine Verbindung zum Opfer aufgebaut vom Angreifer aus. Der Angreifer erstellt einen Listener Prozess und teilt diesen dem Opfer mit. Dann wird die Verbindung gekappt und so zusagen verbindet dann das Opfer sich mit dem Listener Prozess.
Habe ich das richtig verstanden?

[tavoc]

Hallo,

nicht direkt.
Du baust ja ein Exploit, also für Windows also eine exe. Dadrin ist der Payload und die reverse_tcp_shell Komponente.
Der Angreifer schickt dem Opfer diese Exe, z.b. in irgendeinem Download, als Keygen getarnt oder so.
Gleichzeitig startet der Angreifer einen Listener Prozess. Dieser "lauscht" auf der IP des Angreifers mit einem ganz bestimmten Port, z.b. 443.
In der exe wurde zuvor dieser Port und die Angreifer IP angegeben, damit das Opfer sich zurückverbinden kann.

Führt das Opfer diese Exe nun aus, so wird im Hintergrund ein Prozess geöffnet, welcher eine Anfrage zu der IP des Angreifers und auf dem Port ausführt. Damit erhält der Angreifer eine Remoteshell (Konsole), wo er weitere Befehle ausführen kann.
Z.b. den Prozess migrieren in die explorer.exe, damit sieht man den ursprünglichen nicht mehr.

Wichtig ist halt, das dass Opfer aktiv auf die Exe klickt, sonst geht das nicht.

[Stillmatic]

Ich nutzte in meinem Beispiel aber keine .exe sondern einen Dienst Exploit. SMB / Netapi. Die Lücke die auch damals der Conficker Wurm ausgenutzt hat. Aber das Prinzip ist mir jetzt klar.
Bei meinem Fall wird dann warscheinlich Code injeziert der dann die Verbindung zu dem Listener Prozess aufbaut...

[tavoc]

Dadurch das du einen Dienst nutzt, ist ja schon ein Port geöffnet (der vom SMB). Darüber wird dann der Code injeziert und das Opfer verbindet sich dann auf den Angreifer über einen anderen port zurück (wie du schon richtig vermutet hast).

Jedoch kann man mit diesem Angriff nur PCs angreifen, die den SMB port offen haben. Normale Clients haben in der regel alle Ports geschlossen. Vorallem wenn man einen Router oder anderes dazwischen hat.

[Stillmatic]

Ja ich wollte das auch nur mal ausprobieren. Ich habe ja nicht vor einen Rechner zu hacken...

Aber danke für deine Antworten!

MFG