Error al revertir la conexión TCP del SearchIndexer.exe explotado

1

Estoy trabajando en una herramienta que explota SearchIndexer.exe en Windows 7 x86 y se conecta de nuevo a un multiplataforma / multipunto de metasploit, utilizando stagers de TCP de reversa de metasploit estándar.

El exploit parece funcionar según lo previsto en el depurador, y funciona para otros procesos como calc.exe.

Sin embargo, cuando se explota SearchIndexer.exe, las conexiones TCP a mi instancia de metasploit fallan (no se envía tráfico), y en la víctima puedo ver lo siguiente en eventos en procmon ( enlace ):

Dos preguntas:

  • ¿Hay procesos en Windows 7 que no tienen permiso para realizar conexiones TCP?
  • Si no, ¿cómo puedo depurar por qué falla la conexión TCP (llamada)?
pregunta Carsten Maartmann-Moe 18.01.2014 - 17:11
fuente

1 respuesta

1

Muy bien, respondiendo a mi propia pregunta. SearchIndexer y otros servicios están protegidos por Endurecimiento del servicio de Windows . Una parte de la funcionalidad de WSH son las reglas de firewall para el servicio basadas en la forma en que se supone que se comunica el servicio. Entonces, si se supone que el servicio no se comunica a través de la red, los desarrolladores pueden restringir su capacidad para conectarse / recibir datos en la red.

Las reglas del firewall WSH se verifican antes e independientemente del firewall de Windows, por lo que incluso si lo desactivas, estarán vigentes.

El efecto de esto es que SearchIndexer.exe no tiene permitido realizar conexiones salientes.

Afortunadamente, las reglas de firewall WSH se configuran en una clave de registro, bajo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable . Eliminar la subclave SearchIndexer hace que el exploit funcione sin fallas:

    
respondido por el Carsten Maartmann-Moe 01.02.2014 - 18:23
fuente

Lea otras preguntas en las etiquetas