• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Eternalblue & Doublepulsar Exploit in Metasploit Win 7 Hack

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

17164633.png

17164647.png

17164652.png


Если все пройдет успешно - получим доступ к тачке.

17164720.png


В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

 
  • Нравится
Реакции: nynenado, non_logs, explorer_traveler и ещё 15
Нажмите, чтобы раскрыть...
D

dR0nyc

ghostphisher сказал(а):
Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
Нажмите, чтобы раскрыть...
Так а откуда же мне еще это делать?) У меня нет анонимного гаража с кучкой продвинутых хацкеров на борту, аля Mr.Robot =)
По поводу синевы: если бы была синева, то коннекта бы я не получал 5 сек спустя, элементарно бы порт офф, вместе с таргетом. Но ведь коннектится, и удачно проходит эксп раз за разом.
 
Rollly

Rollly

Green Team
31.12.2017
109
133
BIT
0
Порты открыты на атакуемой машине, проверял через сканер, при запуске эксплойста выдает:
[] Started reverse TCP handler on 192.168.10.101:4444
[] 192.168.10.155:445 - Generating Eternalblue XML data
[] 192.168.10.155:445 - Generating Doublepulsar XML data
[] 192.168.10.155:445 - Generating payload DLL for Doublepulsar
[] 192.168.10.155:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[] 192.168.10.155:445 - Launching Eternalblue...
[-] Error getting output back from Core; aborting...
[-] 192.168.10.155:445 - Are you sure it's vulnerable?
[] 192.168.10.155:445 - Launching Doublepulsar...
[-] 192.168.10.155:445 - Oops, something was wrong!
[] Exploit completed, but no session was created.
 
non_logs

non_logs

Green Team
29.12.2016
144
79
BIT
0
ghostphisher сказал(а):
Возможно у твоего юзера нет полных прав. Есть прошивки на роутере, где учетки ест типа Юзер и Админ и действия юзера надо админом подтверждать. Редкость однако. Теперь давай посмотрим более реально - а как роутер выходит в инет? не через VPN тунел часом или черещ еще какое железо? Надо смотреть ip в роутере, которое выдается при коннекте, смотреть какоей ip в инете определяется, не плохо глянуть трейсроут, выяснить имя провайдера (по IP) и почитать его техничку на абонента.
[doublepost=1515089848,1515089595][/doublepost]


Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
Нажмите, чтобы раскрыть...
Нет там роутер самый дешёвый (как и у меня) там такого нет
[doublepost=1515267922][/doublepost]
ghostphisher сказал(а):
Возможно у твоего юзера нет полных прав. Есть прошивки на роутере, где учетки ест типа Юзер и Админ и действия юзера надо админом подтверждать. Редкость однако. Теперь давай посмотрим более реально - а как роутер выходит в инет? не через VPN тунел часом или черещ еще какое железо? Надо смотреть ip в роутере, которое выдается при коннекте, смотреть какоей ip в инете определяется, не плохо глянуть трейсроут, выяснить имя провайдера (по IP) и почитать его техничку на абонента.
[doublepost=1515089848,1515089595][/doublepost]


Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
Нажмите, чтобы раскрыть...
Ты конечно извини за неудобства!
Возможно я тупой и чего-то не понимаю, я только начинаю знакомится с этничным хакингом
 
mz111

mz111

Green Team
20.08.2017
77
73
BIT
0
- на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита
Нажмите, чтобы раскрыть...

Примерно месяц назад довелось наблюдать этот самый синий экран(на нём вроде ещё код какой-то был) на своём мониторе-пытался хакнуть свою основную ОС windows 7 с виртуалки ))) После первой перезагрузки примерно через 10 мин система опять ребутнулась,потом опять и опять .. Касперский фри безуспешно пытался удалить вроде какой -то dll,я пытался найти этот файл по указанному антивирусом пути но его (dll) там не было..Пришлось ОС переустанавливать ))) Если в будущем разберусь со своей проблемой в Metasploit (при использовании эксплойтов в тестировании удалённых машин в глобальном интернете сессии создаются только с c bind пэйлоадами и все они нерабочие - в meterpreter только основные команды,команд stdapi нет,в shell сессиях нет командной строки а сгенерированная полезная нагрузка (TheFatRat) тоже почему-то из машин в глобальном инете не может соединиться с моей Kali,хотя при запуске этих файлов на моём компе всё отлично срабатывает) то буду пробовать сначала на своей системе,и если увижу подобные "эффекты" то больше ни на чьих машинах пробовать не буду.Не хочу никому гадить.
 
ghostphisher

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
non_logs сказал(а):
Нет там роутер самый дешёвый (как и у меня) там такого нет
Нажмите, чтобы раскрыть...

У роутеров есть базовые настройки и конфиги, без которых он не сможет работать. Какая марка роутера? Ты выяснил какой провайдер и какие у этого провайдера условия для подключения?
 
non_logs

non_logs

Green Team
29.12.2016
144
79
BIT
0
ghostphisher сказал(а):
У роутеров есть базовые настройки и конфиги, без которых он не сможет работать. Какая марка роутера? Ты выяснил какой провайдер и какие у этого провайдера условия для подключения?
Нажмите, чтобы раскрыть...
Марка TP-LINK WR740N v6, а провайдер украинский киевстар (такое свежее говнецо)
 
M

MRossa

Кто поможет с настройкой стучите в телегу @MRossa1
 
П

Петрович887

Приветствую!
Не могу получить сессию, хотя все вроде проходит нормально, кроме ошибки с ОС. Перепробовал reverse_tcp, reverse_https, bind_tcp, разные процессы (explorer, spoolsv, lsass), разные версии ОС - не помогает. Что можно еще попробовать?

Снимок1.PNG Снимок2.PNG
 
Sykes

Sykes

Green Team
17.10.2017
143
93
BIT
0
Петрович887 сказал(а):
Приветствую!
Не могу получить сессию, хотя все вроде проходит нормально, кроме ошибки с ОС. Перепробовал reverse_tcp, reverse_https, bind_tcp, разные процессы (explorer, spoolsv, lsass), разные версии ОС - не помогает. Что можно еще попробовать?

Посмотреть вложение 15550 Посмотреть вложение 15552
Нажмите, чтобы раскрыть...
А ты точно версию без патча поставил?
 
  • Нравится
Реакции: Петрович887
П

Петрович887

Sykes сказал(а):
А ты точно версию без патча поставил?
Нажмите, чтобы раскрыть...
В данном деле, можно сказать, новичок, поэтому не понял о каком патче идет речь? Но если что, при соответствующих настройках метасплойта получал сессии на 3 машинах (xp x86 и 7-ка x64). Тут какая-то сборка Win7 x64, может поэтому ОС не может определить?!

ghostphisher сказал(а):
настройку сплоита - убрать проверку архитектуры и версии попробовать.
Нажмите, чтобы раскрыть...
Не подскажешь, какими командами?
 
Sykes

Sykes

Green Team
17.10.2017
143
93
BIT
0
Петрович887 сказал(а):
В данном деле, можно сказать, новичок, поэтому не понял о каком патче идет речь? Но если что, при соответствующих настройках метасплойта получал сессии на 3 машинах (xp x86 и 7-ка x64). Тут какая-то сборка Win7 x64, может поэтому ОС не может определить?!
Нажмите, чтобы раскрыть...
Чаще всего выкладывают сборки с обновлениями, которые закрывают все дыры под сплойты. Сам так однажды пару дней просидел
 
  • Нравится
Реакции: Петрович887
П

Петрович887

Sykes сказал(а):
Чаще всего выкладывают сборки с обновлениями, которые закрывают все дыры под сплойты. Сам так однажды пару дней просидел
Нажмите, чтобы раскрыть...
Судя по логу - backdoor installed - вроде все норм, только нет сессии. На других пк это решалось bind_tcp вместо reverse. Кстати, какие payload можно еще попробовать?
 
Sykes

Sykes

Green Team
17.10.2017
143
93
BIT
0
Петрович887 сказал(а):
Судя по логу - backdoor installed - вроде все норм, только нет сессии. На других пк это решалось bind_tcp вместо reverse. Кстати, какие payload можно еще попробовать?
Нажмите, чтобы раскрыть...
Слушай. Я тут всмотрелся в твои скрины и увидел, что стоит под 64 бита. Ты можешь даже не и мучиться, а использовать нормальный етерналблу. Пульсар под 86 делали, как я понимаю, и на 64 может не всегда работать.
У меня работало с windows/shell/reverse_tcp, windows/shell/reverse_https. Мета ни разу не встала, пришлось импровизировать.

---- Добавлено позже ----

Тут аура какая-то плохая что-ли? Всегда работало, но вот решил проверить и ничего.
Атакующий: Кали 2018.1.
Жертва: Вин 7 х86. Пробовал кучи сборок, нет эффекта. Даже на старых не пашет, хотя раньше не жаловался.
Брандмауэр отключен, АВ не стоит.
Скан выявил уязвимость, но вот эксплоит так не думает.
Было перепробовано с десяток процессов под инъекцию, различные нагрузки. Ни-че-го. Повторюсь, раньше всё работало. Может вы мне тогда дадите ссылочку на работающий образ под х86?

Посмотреть вложение 15563Посмотреть вложение 15564

---- Добавлено позже ----

Тут аура какая-то плохая что-ли? Всегда работало, но вот решил проверить и ничего.
Атакующий: Кали 2018.1.
Жертва: Вин 7 х86. Пробовал кучи сборок, нет эффекта. Даже на старых не пашет, хотя раньше не жаловался.
Брандмауэр отключен, АВ не стоит.
Скан выявил уязвимость, но вот эксплоит так не думает.
Было перепробовано с десяток процессов под инъекцию, различные нагрузки. Ни-че-го. Повторюсь, раньше всё работало. Может вы мне тогда дадите ссылочку на работающий образ под х86?
Посмотреть вложение 15563Посмотреть вложение 15564
 
Последнее редактирование:
Sykes

Sykes

Green Team
17.10.2017
143
93
BIT
0
usfire сказал(а):
сессия не приходит
Нажмите, чтобы раскрыть...
я сегодня не в духе и способностями экстрасенса не могу пользоваться.
Какая система? Сколько бит жертва? Отключен ли брандмауэр? Включен ли сетевой мост? В какие файлы производились попытки инъекций? Что нагрузка? На лог можно посмотреть?
 
  • Нравится
Реакции: Глюк
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ