Статья Eternalblue & Doublepulsar Exploit in Metasploit Win 7 Hack

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

17164633.png

17164647.png

17164652.png


Если все пройдет успешно - получим доступ к тачке.

17164720.png


В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

 
D

dR0nyc

Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
Так а откуда же мне еще это делать?) У меня нет анонимного гаража с кучкой продвинутых хацкеров на борту, аля Mr.Robot =)
По поводу синевы: если бы была синева, то коннекта бы я не получал 5 сек спустя, элементарно бы порт офф, вместе с таргетом. Но ведь коннектится, и удачно проходит эксп раз за разом.
 

Rollly

Green Team
31.12.2017
109
133
BIT
0
Порты открыты на атакуемой машине, проверял через сканер, при запуске эксплойста выдает:
[] Started reverse TCP handler on 192.168.10.101:4444
[
] 192.168.10.155:445 - Generating Eternalblue XML data
[] 192.168.10.155:445 - Generating Doublepulsar XML data
[
] 192.168.10.155:445 - Generating payload DLL for Doublepulsar
[] 192.168.10.155:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[
] 192.168.10.155:445 - Launching Eternalblue...
[-] Error getting output back from Core; aborting...
[-] 192.168.10.155:445 - Are you sure it's vulnerable?
[] 192.168.10.155:445 - Launching Doublepulsar...
[-] 192.168.10.155:445 - Oops, something was wrong!
[
] Exploit completed, but no session was created.
 

non_logs

Green Team
29.12.2016
144
79
BIT
0
Возможно у твоего юзера нет полных прав. Есть прошивки на роутере, где учетки ест типа Юзер и Админ и действия юзера надо админом подтверждать. Редкость однако. Теперь давай посмотрим более реально - а как роутер выходит в инет? не через VPN тунел часом или черещ еще какое железо? Надо смотреть ip в роутере, которое выдается при коннекте, смотреть какоей ip в инете определяется, не плохо глянуть трейсроут, выяснить имя провайдера (по IP) и почитать его техничку на абонента.
[doublepost=1515089848,1515089595][/doublepost]


Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
Нет там роутер самый дешёвый (как и у меня) там такого нет
[doublepost=1515267922][/doublepost]
Возможно у твоего юзера нет полных прав. Есть прошивки на роутере, где учетки ест типа Юзер и Админ и действия юзера надо админом подтверждать. Редкость однако. Теперь давай посмотрим более реально - а как роутер выходит в инет? не через VPN тунел часом или черещ еще какое железо? Надо смотреть ip в роутере, которое выдается при коннекте, смотреть какоей ip в инете определяется, не плохо глянуть трейсроут, выяснить имя провайдера (по IP) и почитать его техничку на абонента.
[doublepost=1515089848,1515089595][/doublepost]


Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
Ты конечно извини за неудобства!
Возможно я тупой и чего-то не понимаю, я только начинаю знакомится с этничным хакингом
 

mz111

Green Team
20.08.2017
77
73
BIT
0
- на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита

Примерно месяц назад довелось наблюдать этот самый синий экран(на нём вроде ещё код какой-то был) на своём мониторе-пытался хакнуть свою основную ОС windows 7 с виртуалки ))) После первой перезагрузки примерно через 10 мин система опять ребутнулась,потом опять и опять .. Касперский фри безуспешно пытался удалить вроде какой -то dll,я пытался найти этот файл по указанному антивирусом пути но его (dll) там не было..Пришлось ОС переустанавливать ))) Если в будущем разберусь со своей проблемой в Metasploit (при использовании эксплойтов в тестировании удалённых машин в глобальном интернете сессии создаются только с c bind пэйлоадами и все они нерабочие - в meterpreter только основные команды,команд stdapi нет,в shell сессиях нет командной строки а сгенерированная полезная нагрузка (TheFatRat) тоже почему-то из машин в глобальном инете не может соединиться с моей Kali,хотя при запуске этих файлов на моём компе всё отлично срабатывает) то буду пробовать сначала на своей системе,и если увижу подобные "эффекты" то больше ни на чьих машинах пробовать не буду.Не хочу никому гадить.
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Нет там роутер самый дешёвый (как и у меня) там такого нет

У роутеров есть базовые настройки и конфиги, без которых он не сможет работать. Какая марка роутера? Ты выяснил какой провайдер и какие у этого провайдера условия для подключения?
 

non_logs

Green Team
29.12.2016
144
79
BIT
0
У роутеров есть базовые настройки и конфиги, без которых он не сможет работать. Какая марка роутера? Ты выяснил какой провайдер и какие у этого провайдера условия для подключения?
Марка TP-LINK WR740N v6, а провайдер украинский киевстар (такое свежее говнецо)
 
M

MRossa

Кто поможет с настройкой стучите в телегу @MRossa1
 
П

Петрович887

Приветствую!
Не могу получить сессию, хотя все вроде проходит нормально, кроме ошибки с ОС. Перепробовал reverse_tcp, reverse_https, bind_tcp, разные процессы (explorer, spoolsv, lsass), разные версии ОС - не помогает. Что можно еще попробовать?

Снимок1.PNG Снимок2.PNG
 

Sykes

Green Team
17.10.2017
143
93
BIT
0
Приветствую!
Не могу получить сессию, хотя все вроде проходит нормально, кроме ошибки с ОС. Перепробовал reverse_tcp, reverse_https, bind_tcp, разные процессы (explorer, spoolsv, lsass), разные версии ОС - не помогает. Что можно еще попробовать?

Посмотреть вложение 15550 Посмотреть вложение 15552
А ты точно версию без патча поставил?
 
  • Нравится
Реакции: Петрович887
П

Петрович887

А ты точно версию без патча поставил?
В данном деле, можно сказать, новичок, поэтому не понял о каком патче идет речь? Но если что, при соответствующих настройках метасплойта получал сессии на 3 машинах (xp x86 и 7-ка x64). Тут какая-то сборка Win7 x64, может поэтому ОС не может определить?!

настройку сплоита - убрать проверку архитектуры и версии попробовать.
Не подскажешь, какими командами?
 

Sykes

Green Team
17.10.2017
143
93
BIT
0
В данном деле, можно сказать, новичок, поэтому не понял о каком патче идет речь? Но если что, при соответствующих настройках метасплойта получал сессии на 3 машинах (xp x86 и 7-ка x64). Тут какая-то сборка Win7 x64, может поэтому ОС не может определить?!
Чаще всего выкладывают сборки с обновлениями, которые закрывают все дыры под сплойты. Сам так однажды пару дней просидел
 
  • Нравится
Реакции: Петрович887
П

Петрович887

Чаще всего выкладывают сборки с обновлениями, которые закрывают все дыры под сплойты. Сам так однажды пару дней просидел
Судя по логу - backdoor installed - вроде все норм, только нет сессии. На других пк это решалось bind_tcp вместо reverse. Кстати, какие payload можно еще попробовать?
 

Sykes

Green Team
17.10.2017
143
93
BIT
0
Судя по логу - backdoor installed - вроде все норм, только нет сессии. На других пк это решалось bind_tcp вместо reverse. Кстати, какие payload можно еще попробовать?
Слушай. Я тут всмотрелся в твои скрины и увидел, что стоит под 64 бита. Ты можешь даже не и мучиться, а использовать нормальный етерналблу. Пульсар под 86 делали, как я понимаю, и на 64 может не всегда работать.
У меня работало с windows/shell/reverse_tcp, windows/shell/reverse_https. Мета ни разу не встала, пришлось импровизировать.

---- Добавлено позже ----

Тут аура какая-то плохая что-ли? Всегда работало, но вот решил проверить и ничего.
Атакующий: Кали 2018.1.
Жертва: Вин 7 х86. Пробовал кучи сборок, нет эффекта. Даже на старых не пашет, хотя раньше не жаловался.
Брандмауэр отключен, АВ не стоит.
Скан выявил уязвимость, но вот эксплоит так не думает.
Было перепробовано с десяток процессов под инъекцию, различные нагрузки. Ни-че-го. Повторюсь, раньше всё работало. Может вы мне тогда дадите ссылочку на работающий образ под х86?

Посмотреть вложение 15563Посмотреть вложение 15564

---- Добавлено позже ----

Тут аура какая-то плохая что-ли? Всегда работало, но вот решил проверить и ничего.
Атакующий: Кали 2018.1.
Жертва: Вин 7 х86. Пробовал кучи сборок, нет эффекта. Даже на старых не пашет, хотя раньше не жаловался.
Брандмауэр отключен, АВ не стоит.
Скан выявил уязвимость, но вот эксплоит так не думает.
Было перепробовано с десяток процессов под инъекцию, различные нагрузки. Ни-че-го. Повторюсь, раньше всё работало. Может вы мне тогда дадите ссылочку на работающий образ под х86?
Посмотреть вложение 15563Посмотреть вложение 15564
 
Последнее редактирование:

Sykes

Green Team
17.10.2017
143
93
BIT
0
сессия не приходит
я сегодня не в духе и способностями экстрасенса не могу пользоваться.
Какая система? Сколько бит жертва? Отключен ли брандмауэр? Включен ли сетевой мост? В какие файлы производились попытки инъекций? Что нагрузка? На лог можно посмотреть?
 
  • Нравится
Реакции: Глюк
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!