Ms wbt server что это
Перейти к содержимому

Ms wbt server что это

  • автор:

Решена *.*.*:ms-wbt-server SYN_SENT *

Скачайте сканер OTL by oldtimer и сохраните файл на вашем рабочем столе.
Запустите программу сделав двойной щелчок мыши.
Сделайте настройки программы согласно изображения ниже:

2c6110405830.jpg

0937f12e0a58.png

с скопируйте следующую информацию:

3745762v.jpg

После завершения проверки, будут созданы два файла — OTL fix log. Этот файл необходимо прикрепить к своему следующему посту в той теме, где вам оказывается помощь.

Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования — OkShow Results (показать результаты) — Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Wazza
Новый пользователь
  • 27 Авг 2011
  • #3
Вложения
icotonev
  • 27 Авг 2011
  • #4

Добавлено через 5 минут 6 секунд
Изменения в системе Вы наблюдаете .

svchost лезет наружу на 3389 на кучу серверов (заявка № 107956)

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

svchost лезет наружу на 3389 на кучу серверов

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Anti-Malware Telegram

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 11.05.2011 Сообщений 2,292 Вес репутации 373

Уважаемый(ая) Wazza, спасибо за обращение на наш форум!

Удаление вирусов — абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность — пожалуйста поддержите проект.

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 27.05.2009 Сообщений 2,655 Вес репутации 247

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • netstat -o.txt (3.4 Кб, 4 просмотров)
  • virusinfo_syscheck.zip (15.0 Кб, 3 просмотров)
  • virusinfo_syscure.zip (17.9 Кб, 2 просмотров)
  • hijackthis.log (5.7 Кб, 3 просмотров)
  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 27.05.2009 Сообщений 2,655 Вес репутации 247

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • gmer.log (58.4 Кб, 5 просмотров)
  • hijackthis.log (5.7 Кб, 3 просмотров)
  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 27.05.2009 Сообщений 2,655 Вес репутации 247

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • mbam-log-2011-08-27 (14-42-42).txt (7.4 Кб, 3 просмотров)
  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 27.05.2009 Сообщений 2,655 Вес репутации 247
Сообщение от Wazza

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 27.05.2009 Сообщений 2,655 Вес репутации 247
Сообщение от Wazza

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 27.05.2009 Сообщений 2,655 Вес репутации 247

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Junior Member РепутацияРегистрация 27.05.2008 Сообщений 213 Вес репутации 56

Добавлено через 2 часа 18 минут

неужели на этом этапе кроме как опустить руки и написать format c: больше нет вариантов?

Добавлено через 3 часа 10 минут

Спасибо за внимание к моей проблеме , решение найдено , активность svchost устранена .

  • Просмотр профиля
  • Найти все сообщения
  • Найти все темы

Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 26.12.2006 Адрес Vladivostok Сообщений 23,298 Вес репутации 1574
Сообщение от Wazza

Это понравилось:

  • Просмотр профиля
  • Найти все сообщения
  • Visit Homepage
  • Найти все темы

Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 29.12.2008 Сообщений 48,232 Вес репутации 973

Итог лечения

  • Получено карантинов: 1
  • Обработано файлов: 12
  • В ходе лечения вредоносные программы в карантинах не обнаружены

Уважаемый(ая) Wazza, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

Неразрушающая проверка на уязвимость к MS12-020

Многие наверняка уже слышали страшную сказку о том, что в последний Черный Вторник корпорация Майкрософт выпустила критическое обновление для всех версий Windows, которое исправляет Страшную и Ужасную Уязвимость в RDP, а именно MS12-020 . По разным данным эксплуатировать эту уязвимость для чего-то более неприятного, чем вызов отказа в обслуживании (система уходит в Синий Экран Смерти ), очень сложно, и пока об удачных попытках удаленного выполнения кода лично мне ничего не известно. (Что, в принципе, ничего не доказывает, но надежда все-таки есть.) Потому что иначе, если будет найден способ выполнить на машине произвольный код, последствия могут быть сравнимы с эксплуатацией MS08-067 , а это, как мы помним, чрезвычайно проворные сетевые черви типа Downadup/Conflicker .

Подскажите вектор атаки по Windows 10

Тренируюсь проводить пентесты, давно этим не занимался, но решил вспомнить былое.

Сетка моей организации, и я сам хакаю себя.
Получен доступ в сеть по вайфаю. Найдены машины. Интересует одна, без фильтрованных портов.

PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
5357/tcp open wsdapi

Я знаю что там Win10, машина рядом со мной стоит)
Подскажите, есть ли что-то попсовое из сплоитов для win10, типа bluekeep, и если нет, то что дальше посоветуете делать?
Насколько я помню по 2000 винде, были утилитки для коннекта к шарам и вытаскивание списка пользователей. Еще были варианты с перехватом NTLM хешей и брутом.
Подскажите что сейчас актуально для вин 10.

zhe_ka
  • 02.11.2019
  • #2
Pulsera
  • 02.11.2019
  • #3
  • 02.11.2019
  • #4

не, рабочая группа. несколько тачек на винде.

спасибо посмотрел. очень интересные фишки с респондером и отравлением запросов.
Но зная изнутри порядок работы, спуфинг врядли может подойти, потому что юзеры не пользвются шарами. Просто работают локально и юзают браузер и серфинг.

Все еще надеюсь найти какой-нибудь RCE сплоит. Но пока что вырисовывается вектор через RDP. Он открыт на Win10, а это значит что там стоит патч на терминалый сервак для админов и он точно рабочий.
Ищу способ пробить список пользователей. Пока заинтересовал smb_lookupsid

Однако брут по rdp это долго и нет 100 гарантии.
почти уверен, что на тачке есть юзеры без пароля, но штатные политики вряд ли дадут под ними зайти.
так же включен Guest.
SMB Auxiliary Modules с гостем дадут больше инфы чем вообще без ничего? или одинаково?
Подкиньте идей.

  • 02.11.2019
  • #5
Pulsera
  • 02.11.2019
  • #6
  • 02.11.2019
  • #7
Pulsera
  • 02.11.2019
  • #8

там их много и каждый день что то новое и появляется там

Вот еще список ресурсов по поводу уязвимостей:

fuzzz
  • 03.11.2019
  • #9
  • 04.11.2019
  • #10
Петручо
  • 09.11.2019
  • #11
Salivan
  • 10.11.2019
  • #12
s unity
  • 10.11.2019
  • #13
  • 05.12.2019
  • #14

Прошел кучу возни с настройкой кали под себя и плясок с бубнами вокруг адаптеров и драйверов. С 5-го раза кали прижился на флешке.

По предыдущим шагам:
Поюзал я все enum под винду в метасплоите, ничего интересного не нашел. Вообще глушняк. На большинстве винд активирован фаервол и все сканы в обломе. Если честно, я приятно удивлен таким положением дел на стоковой винде. Во времена 7ки и ХР было все гораздо хуже с безопасностью. Хотя бы список юзеров и версию системы я бы точно взял, а тут полный остос.

Пошел по пути, который советовал коллега:

И действительно, обнаружил хороший вектор.

1. Получил доступ к вайфаю. Перебрал пачку инструментов, надежды были на Fluxion, но он, как и еще парочка тулзов, почему-то не запускал dhcp и при коннекте на мою АП клиент не получал айпи.
В итоге сработало решение через wifiphisher. Лендос там кондовый, конечно, тупо форма Enter wifi password и никаких проверок по хендшейку. Ну да ладно, главное сработал, потом разберемся с fluxion.

2. Чуть позже нашел еще один заход через недонастроенный контроллер с вайфаем на борту. Теперь у меня есть рут на arm-линукс-машине. Но он в другой подсети. Отложил его пока.

3. Пошел в arp и sniff. На удивление у меня не взлетел ettercap. Просто ничего не показывает, зато открыл для себя bettercap. Офигенная штука, изящная, быстрая, со скриптами. Кайф короче.
Быстро обнаружил в сети веб сервис мониторинга без ssl. Все юзеры там постоянно сидят и работают. Получил логин и пасс.

4. Замутил arp-poison и воткнул инжект Beef. И еще раз офигел уже от этого инструмента Поигрался с ним и почитал инет, мне понравилась фишка с социальной инженерией, тупо накладка на сайт с запросом пароля или ссылкой на скачивание. Там есть hta shell и уведомления Хрома об обновке плагинов.
При запуске таска на внедрение hta ничего не происходит. При запуске уведомления для обновки плагина можно вставить свой бинарник.
Хрен с ним с hta, я так понял он хорошо работает только с IE, а у меня все клиенты на Хроме сидят.

Подумал что дело в шляпе, возьму бэкшелл на ps и все. Но не тут то было, шелл палит windows defender.
попробовал сгенерить unicorn — все равно палево. Вот здесь я пока и застрял.

Подскажите что сейчас актуально для генерации fud reverseshell’а ? Думал что повершелловские обфусцированные скрипты это панацея, но обломался. Тема умерла или нужно хитрее делать?

Видел shelter, видел empire. Но пока не пробовал.
Мне бы в и идеале получить meterpreter сессию чтобы можно было, кроме всего прочего, делать скриншоты текущего юзера.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *