Статья Eternalblue & Doublepulsar Exploit in Metasploit Win 7 Hack

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

Если все пройдет успешно - получим доступ к тачке.

В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

 

[Elektrolife]

А что используете
Посмотреть вложение 10473
?

Какие настройки TARGETS?
Какая архитектура цели и соответствует ли выбранной архитектуре?

Сбросьте скрины сканирования auxiliary и options эксплоита с пейлоудом

блин,скрин не прицепился. сейчас

Ссылка скрыта от гостей

[doublepost=1497443789,1497443522][/doublepost]

То есть эксплуатация проходит успешно, но в listeners пусто? Или клиенты есть, но они не получают команды по взаимодействию? В любом случае нужно проверить антивирус\фаерволы.
ПС : лично я на win 10 не тестировал.

Нет,к сожалению эксплуатация не проходит

 

[id2746]

попробуйте x86 и различные таргет даблпульсаром.
[doublepost=1497445879,1497445772][/doublepost]тема ghostphisher по этому вопросу:
https://codeby.net/threads/eternalblue-doublepulsar-exploit-in-metasploit-win-7-hack.59593/

 

[Elektrolife]

К сожалению приходится признать,что Win 10 этим пока не пробить так что только старая добрая социальная инжинерия

 

[ugoday]

К сожалению приходится признать,что Win 10 этим пока не пробить так что только старая добрая социальная инжинерия

Ссылка скрыта от гостей

[doublepost=1497632222,1497629549][/doublepost]Пдфка удалена, вот что было.
[doublepost=1497821415][/doublepost]

Ссылка скрыта от гостей

[doublepost=1497632222,1497629549][/doublepost]Пдфка удалена, вот что было.

Ещё хочу добавить для 8-й

1)

Ссылка скрыта от гостей

2)

Ссылка скрыта от гостей

3)

Ссылка скрыта от гостей

 

[Elektrolife]

Ссылка скрыта от гостей

[doublepost=1497632222,1497629549][/doublepost]Пдфка удалена, вот что было.
[doublepost=1497821415][/doublepost]

Ещё хочу добавить для 8-й

1)

Ссылка скрыта от гостей

2)

Ссылка скрыта от гостей

3)

Ссылка скрыта от гостей

А есть рабочий PoC для десятки ? Я не нашёл

 

[ugoday]

А есть рабочий PoC для десятки ? Я не нашёл

Не нашёл.

 

[Surglin]

нет...десятку неберёт он(

 

[Contror]

тестил для семерки, вроде все норм сделал а пишет экспоит завершен но сеанс не создан

 

[ghostphisher]

тестил для семерки, вроде все норм сделал а пишет экспоит завершен но сеанс не создан

скрин, пожалуйста, сюда закинте.

 

[Surglin]

7 Home Basic берёт легко
7 Prof тоже, если Каспер не стоит)
7 Prof после сноса Каспера стал в BSOD валить)

 

[debian2017]

7 Home Basic берёт легко
7 Prof тоже, если Каспер не стоит)
7 Prof после сноса Каспера стал в BSOD валить)

Берет те машины где обновления не установлены А так майкр давно уже дырки эти залатал ) Так что в топку ...мб сплоит на питоне для win 2008 r2 еще как то пашет ..а эти сдулись уже давно увы..все что в паблике далеко не вечно)

 

[Surglin]

Я пробовал семёрку обновить до последнего - брал, но после каспера стало валить)

 

[3aHyga]

Доброго времени суток, не могу понять одну проблемку, тестирую ms17-010 искользую кали линукс msfconsole ms17_010_eternalblue, eternalblue_doublepulsar, в качестве жертвы виртуалки, самый первый раз exploit прошол нормально и сесии открылись на всех машинах, после чего я пробую опять провести exploit на эти машины сночала он проходил через раз, потом тупо кобутто что-то сломалась exploit не проходит вобще виртуалки не менялись система таже самая все тоже самое.

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[ghostphisher]

А винда на виртуалке обновиться не могла? Стоит попробовать выключить вируталку, а не выйти сохранив сессию.

 

[3aHyga]

Системы все перегружались обновится не могла! Такое ощюшение что нужно чистить какойто лог или еще что

 

[ghostphisher]

Системы все перегружались обновится не могла! Такое ощюшение что нужно чистить какойто лог или еще что

У меня был подобный случай, стуация решилась когда этот образ винды вновь "перегрузил" на виртуалку. И не лог чистить, я так понимаю на стороне Виндов что то смещается. Это если все как было и ничего не менялос и влруг перестало работать.


к слову, эксплоит из Msf только на х64 винды, а тот, который был отдельным кодом и 32 и 64 пробивал

 

[3aHyga]

да я знаю я просто сделал скрины обоих версий что не одна не берет тепер, и перезагрузка не помогает (((

 

[ghostphisher]

да я знаю я просто сделал скрины обоих версий что не одна не берет тепер, и перезагрузка не помогает (((

Переставить образ винды вновь.

 

[3aHyga]

это не решение хотелась бы узнать причину.

 

[ghostphisher]

И когда eternalblue_doublepulsar используем, можно попробовать заменить lsass.exe на иной. Менялся сервис?

какая винда и как она установлена: образ от МС или инсталл с iso