Статья Eternalblue & Doublepulsar Exploit in Metasploit Win 7 Hack

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

Если все пройдет успешно - получим доступ к тачке.

В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

 

[Urfin--Juice]

Там написано - нет сессии. Пробуем вместо lsass.exe все возможные другие процессы, там на скрине видно, что процесс иной чем lsass.exe - пробавли все процессы или пару? Может быть винда , проверяем все настройки. Можно слить образы винды с сайта мягких и на них пробовать. Опробуйте другой образ вин

На скрине указан дефолтный процесс wlms.exe, который и надо использовать для 32-битных целей. Насколько я понял lsass.exe это для х64. Какие еще процессы для инжекта можно указать?

 

[ghostphisher]

На скрине указан дефолтный процесс wlms.exe, который и надо использовать для 32-битных целей. Насколько я понял lsass.exe это для х64. Какие еще процессы для инжекта можно указать?

Почему lsass.exe для 64? Стоит заглянуть в свой диспетчер задач на виртуальной винде и обнаружить процессы, на которые можно охотится.

 

[Urfin--Juice]

Почему lsass.exe для 64? Стоит заглянуть в свой диспетчер задач на виртуальной винде и обнаружить процессы, на которые можно охотится.

Натравил на lsass.exe, удалось, но через минуту ребут целевого хоста. Попробовал с spoolsv.exe и explorer.exe. Все работает отлично. Теперь надо читать про закрепление...
ghostfisher, спасибо за помощь и терпение!

 

[ghostphisher]

Натравил на lsass.exe, удалось, но через минуту ребут целевого хоста. Попробовал с spoolsv.exe и explorer.exe. Все работает отлично. Теперь надо читать про закрепление...
ghostfisher, спасибо за помощь и терпение!

1) Использовать лучше reverse_https
2) Полезные статьи

статья от @Vander Способ повышения привилегий до системных, обход UAC на удаленном компьютере (жертве). https://codeby.net/threads/bypass-uac-metasploit.57901/

статья от @~~DarkNode~~ Знакомство с PowerShell Empire Framework https://codeby.net/threads/znakomstvo-s-powershell-empire-framework.58469/

 

[Urfin--Juice]

Пока мне еще отвечают....
Цель: Хочу использовать eternal_doublepulsar, а в качестве payload - сгенерированный с помощью Empire stager, и в качестве обработчика сессии - listener Empire. Т.е. из Metasploit запускаем doublepulsar, а сессия должна прийти на Empire...

Есть отличный

Ссылка скрыта от гостей

по Empire, где, в частности, упомянута работа Empire в связке с Metasploit. Думаю, что это то, что мне нужно, но никак не могу разобраться.

В гайде рассматривается два варианта...

1. Использование multi/handler.
Если я правильно понимаю, то handler - это обработчик приходящих извне подключений. Когда мы указываем в нем PAYLOAD, то handler принимает сессию конкретно от данного типа нагрузки(это так?). (Т.е. если сконфигурировали нагрузку с metrpreter/reverse_http, закинули ее клиенту, то и в handler надо указать в качестве payload - meterpreter/reverse_http). В моем случае нагрузка закидывается клиенту не как-то отдельно, а с помощью doublepulsar из msf. Как настроить хэндлер и d.pulsar в таком случае? И какую роль в этом играет dll? И почему этот сгенерированный dll указывается в хэндлере, а не в doublepulsar-е?

2. Использование windows/exec.
Здесь мы генерируем строку launcher-a в Empire. Далее (Вариант 1)в msf в windows/exec в качестве параметра CMD указываем эту строку и запускаем. Здесь получаю...



Пробовал с другими значениями CMD, обычными командами cmd, результат тот же.
Настройки эксплоита:



Что я не так настраиваю?

Во втором варианте данного способа, из launcher-а, который сгенеривал Empire, с помощью msfvenom генерируется exe-файл. И в параметре CMD указывается путь этого файла. В результате ошибка такая же как и на предыдущем скрине. Хотя если этот exe вручную залить на целевой хост и запустить, то сессия прилетает как надо.

Пролейте, пожалуйста, немного света на эту тему.

P.S. Главное, что не могу понять... В качестве payload msf предлагает нагрузки с созданием подключений bind или reverse соответственно. А если мне не нужно это подключение(дефолтные палятся АВ), а нужно просто с помощью эксплоита доставить тот же empire-launcher, который сам уже создаст сессию, как в таком случае поступать?

 

[ghostphisher]

И какую роль в этом играет dll? И почему этот сгенерированный dll указывается в хэндлере, а не в doublepulsar-е?

Потому что сам код и сама суть эксплоита так построена. Что бы выполнялся именно заказанный файл, надо другой код и другие условия. Внедрение в процесс отличается от запускай файла локально.

 

[Urfin--Juice]

ghostfisher,
1. не могли бы вы описать порядок действий для достижения цели?
2. Есть ли соображения, почему msf ругается на значение параметра CMD?

 

[dR0nyc]

Люди добрые, выручайте. Уже запарился. Не приходит сессия и все тут. Использую reverse_tcp.
Эксплоит проходит, все гуд, бэкдурчик все дела. Но сессии нет, что за хрень. Порт 4444 пробросил, на сервисе на том же canyouseeme.org чекнул - Success, что еще ему надо, понять не могу... (

 

[ghostphisher]

1) Пробуем на виртуальной машине своей
2) вместо reverse_tcp пробуем reverse_https
3) пробуем на разных сборках

4) описать подробнее как сейчас пробуется, что в настройках и кого атакуем.

 

[dR0nyc]

Дома стоит отдельный стационар с Кали с локальным ИП 192.168.1.46
Кали "чисто" поставленная. Без виртуалок и прочего. Дистрибутив скачен с офф источника - kali.org. Запилен на флешку по здешнему мануалу.
Куплен "белый" ИП у провайдера. Порты проброшены через роутер Кинетик Старт (вроде бы работает корректно). Но проброшены через маппинг, т.е. через 21й порт. Чисто без этих плясок порты не открываются, тот же 4444 либо 8443 и т.д.
На машине с Кали запущен фтп сервис, т.е. чтобы открылся 21й порт, без этого нибуя порт не открывается (кстати даже и на Win машине, хз в чем дело, может в прове). Атакуемая какая-то армянская машина ХР (для теста), подозреваю что х86-битная, т.к. пэйлоад и TARGETARCHITECTURE настроены в MSF на х86.

Прилагаю возможные скрины

 

[non_logs]

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

Если все пройдет успешно - получим доступ к тачке.

В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

Привет у меня вопрос а можно эксплоит юзать на удалённых пк? Я пытался узнать но вылазит что не та архитектура Kali и не работает а на чистом експлоите не запускается handler.
[doublepost=1515083258][/doublepost]

Посмотреть вложение 14348 Дома стоит отдельный стационар с Кали с локальным ИП 192.168.1.46
Кали "чисто" поставленная. Без виртуалок и прочего. Дистрибутив скачен с офф источника - kali.org. Запилен на флешку по здешнему мануалу.
Куплен "белый" ИП у провайдера. Порты проброшены через роутер Кинетик Старт (вроде бы работает корректно). Но проброшены через маппинг, т.е. через 21й порт. Чисто без этих плясок порты не открываются, тот же 4444 либо 8443 и т.д.
На машине с Кали запущен фтп сервис, т.е. чтобы открылся 21й порт, без этого нибуя порт не открывается (кстати даже и на Win машине, хз в чем дело, может в прове). Атакуемая какая-то армянская машина ХР (для теста), подозреваю что х86-битная, т.к. пэйлоад и TARGETARCHITECTURE настроены в MSF на х86.
Посмотреть вложение 14344 Посмотреть вложение 14345 Посмотреть вложение 14346 Посмотреть вложение 14347
Прилагаю возможные скрины

Посмотри ошибку на github меня он часто выручал)

 

[ghostphisher]

Привет у меня вопрос а можно эксплоит юзать на удалённых пк?

Чем отличается удаленный от локального? Только тем, что кабель длиньше и пару железок на пути стоит. Ответ - МОЖНО, вспоминаем ВанаКрай
[doublepost=1515083549,1515083352][/doublepost]

Посмотреть вложение 14348
На машине с Кали запущен фтп сервис, т.е. чтобы открылся 21й порт, без этого нибуя порт не открывается (кстати даже и на Win машине, хз в чем дело, может в прове)
Прилагаю возможные скрины

1) думаю дело именно в таких настройках сети - надо попробовать пробросить так свой апач, сделать порт 8080 к примеру, далее на него делать проброс и пробуем удаленно подключение, или открыть порт неткатом и пробросить так же, пробовать подключение

2) Где гарантия - там XP? МБ там нечто иное и хорошо настроенное. ХР давно уже убилобы до твоего пришествия

 

[non_logs]

Чем отличается удаленный от локального? Только тем, что кабель длиньше и пару железок на пути стоит. Ответ - МОЖНО, вспоминаем ВанаКрай

В моём случае он отказивался работать совсем сколько уроков пересмотрел там только в локальной может там ограничение?

 

[dR0nyc]

Интересно девки пляшут. С bind_tcp метерпретер здравствуйте... Что за хрень то такая блин

 

[ghostphisher]

В моём случае он отказивался работать совсем сколько уроков пересмотрел там только в локальной может там ограничение?

1) Не будет работать - если не верно настроена СЕТЬ
2) Не будет работать - система под атакой имеет патч закрывающий уязвимость
3) Не будет работать - настройка экплоита имеет ошибочные параметры ( порт, реверс, и т.д )
4) Если говорить по эксплоит с гитхаба - для его эксплуатации требуется наличие всех зависимостей

5) Эксплоит может сработать, но не дать реверс, а вызвать синий экран, кстати вот это реально может быть "с армянской машиной"
[doublepost=1515083999,1515083826][/doublepost]

Интересно девки пляшут. С bind_tcp метерпретер здравствуйте... Что за хрень то такая блин
Посмотреть вложение 14349

В #109 посте писал - сменить реверс, если не катит один вариант реверса, пробуем другие, тоже самое можно пробовать с процесами - помимо lsass.exe есть и другие.

 

[non_logs]

Интересно девки пляшут. С bind_tcp метерпретер здравствуйте... Что за хрень то такая блин
Посмотреть вложение 14349

Он работает) но можно просто открыть сам експлоит в лефтпаде покомайся и посмотри какая часть кода отвечает за вывод этого текста и включи логику попробуй найти что делает этот код)
[doublepost=1515084290,1515084067][/doublepost]

1) Не будет работать - если не верно настроена СЕТЬ
2) Не будет работать - система под атакой имеет патч закрывающий уязвимость
3) Не будет работать - настройка экплоита имеет ошибочные параметры ( порт, реверс, и т.д )
4) Если говорить по эксплоит с гитхаба - для его эксплуатации требуется наличие всех зависимостей

5) Эксплоит может сработать, но не дать реверс, а вызвать синий экран, кстати вот это реально может быть "с армянской машиной"
[doublepost=1515083999,1515083826][/doublepost]

В #109 посте писал - сменить реверс, если не катит один вариант реверса, пробуем другие, тоже самое можно пробовать с процесами - помимо lsass.exe есть и другие.

Спасибо за ответ возможно пункт первый потому что WiFi через который я сижу он не мой)))

 

[ghostphisher]

Спасибо за ответ возможно пункт первый потому что WiFi через который я сижу он не мой)))

...и видимо нет проброса портов....

 

[non_logs]

...и видимо нет проброса портов....

Я в два счёта взломал админ панель роутера открыл порт взял его чекать, а он закрыт

 

[dR0nyc]

В #109 посте писал - сменить реверс, если не катит один вариант реверса, пробуем другие, тоже самое можно пробовать с процесами - помимо lsass.exe есть и другие.

Это понятно. Просто интересен тот факт, что и раньше при "сером" ИП bind_tcp выдавал мне сессию, на ХР и пару раз на Win7. Поэтому -то я и взял белый ИП, пробросил порты, чтобы железобетонно получать сессии, по крайней мере в тех случаях, когда эксплойт проходит, как на скрине выше в моем первом посте. Т.к. я предпологал, что всему виной это мой серый ИП, и не проброшенные порты. А сейчас получается что все, в принципе условия выполнены, но у меня также проблемы с сессиями как и на сером ИП. Напрашивается вывод: и накой хер я тогда покупал белый ИП, если "всё тоже самое" Вот что печалит

 

[ghostphisher]

Я в два счёта взломал админ панель роутера открыл порт взял его чекать, а он закрыт

Возможно у твоего юзера нет полных прав. Есть прошивки на роутере, где учетки ест типа Юзер и Админ и действия юзера надо админом подтверждать. Редкость однако. Теперь давай посмотрим более реально - а как роутер выходит в инет? не через VPN тунел часом или черещ еще какое железо? Надо смотреть ip в роутере, которое выдается при коннекте, смотреть какоей ip в инете определяется, не плохо глянуть трейсроут, выяснить имя провайдера (по IP) и почитать его техничку на абонента.
[doublepost=1515089848,1515089595][/doublepost]

и накой хер я тогда покупал белый ИП, если "всё тоже самое" Вот что печалит

Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.