Payload Reverse o Bind ¿Cuál elegir?

Ayer estaba en mitad del directo realizando pentesting avanzado mencioné de pasada los motivos porque tube que utilizar Weevely en lugar de estar utilizando un panel de PHP o un payload reverse.

En este post quiero expresar porque es mejor utilizar un payload cuya conexión sea “Bind” antes que un reverse. Para entender mejor las características de estos dos tipos de conexiones os dejaré una diapositiva que he encontrado por internet y que me ayudará a explicar todo mejor.

 

Como podéis ver al usar una conexión reverse, dentro de la máquina víctima contiene un fichero (puede ser .py .exe o cualquier extensión) en cuyo interior encontraremos todo el contenido del payload, el fallo de esto es que también se encontrará la dirección de nuestro servidor de control (puede ser la ip de Metasploit o el nombre de dominio).

En el caso de esta conexión si el payload no se encuentra correctamente cifrado (como el PHP de meterpreter) el administrador de dominio puede conocer nuestra dirección ip y si existe un fallo en el servidor de control este puede explotarlo y tumbar nuestro sistema.

Extracto del payload de PHP

Como podéis ver se encuentra la dirección ip dentro del payload.

Sin embargo, al utilizar una conexión bind somos nosotros los que nos vamos a conectar a la victima, la ventaja de esto es que nuestra dirección no estará incluida en el payload, pero tenemos un problema, ya que si el servidor cambia de dirección o de dominio no podremos conectarnos.

Sin embargo, observemos el código de weevely.

Como veis tenemos el contenido del payload cifrada, de hecho, si el administrador encontrara el código es posible que no llegue a adivinar de que se trata y si se esconde en una librería ya existente es probable que no se descubra.

Despues de este analisis podemos llegar a la conclusión de que ambas conexiones tiene sus ventajas y desventajas, sin embargo, si queremos garantizar el anonimato es mejor utilizar un payload bin (y encriptado) como weevely

@cyberh99

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s