• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Eternalblue & Doublepulsar Exploit in Metasploit Win 7 Hack

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

17164633.png

17164647.png

17164652.png


Если все пройдет успешно - получим доступ к тачке.

17164720.png


В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

 

Urfin--Juice

Gold Team
14.11.2017
203
74
BIT
0
Там написано - нет сессии. Пробуем вместо lsass.exe все возможные другие процессы, там на скрине видно, что процесс иной чем lsass.exe - пробавли все процессы или пару? Может быть винда , проверяем все настройки. Можно слить образы винды с сайта мягких и на них пробовать. Опробуйте другой образ вин
На скрине указан дефолтный процесс wlms.exe, который и надо использовать для 32-битных целей. Насколько я понял lsass.exe это для х64. Какие еще процессы для инжекта можно указать?
 
  • Нравится
Реакции: sosiskapi

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
На скрине указан дефолтный процесс wlms.exe, который и надо использовать для 32-битных целей. Насколько я понял lsass.exe это для х64. Какие еще процессы для инжекта можно указать?

Почему lsass.exe для 64? Стоит заглянуть в свой диспетчер задач на виртуальной винде и обнаружить процессы, на которые можно охотится.
 
  • Нравится
Реакции: sosiskapi и id2746

Urfin--Juice

Gold Team
14.11.2017
203
74
BIT
0
Почему lsass.exe для 64? Стоит заглянуть в свой диспетчер задач на виртуальной винде и обнаружить процессы, на которые можно охотится.
Натравил на lsass.exe, удалось, но через минуту ребут целевого хоста. Попробовал с spoolsv.exe и explorer.exe. Все работает отлично. Теперь надо читать про закрепление...
ghostfisher, спасибо за помощь и терпение!
 
  • Нравится
Реакции: sosiskapi

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Натравил на lsass.exe, удалось, но через минуту ребут целевого хоста. Попробовал с spoolsv.exe и explorer.exe. Все работает отлично. Теперь надо читать про закрепление...
ghostfisher, спасибо за помощь и терпение!

1) Использовать лучше reverse_https
2) Полезные статьи

статья от @Vander Способ повышения привилегий до системных, обход UAC на удаленном компьютере (жертве). https://codeby.net/threads/bypass-uac-metasploit.57901/

статья от @~~DarkNode~~ Знакомство с PowerShell Empire Framework https://codeby.net/threads/znakomstvo-s-powershell-empire-framework.58469/
 

Urfin--Juice

Gold Team
14.11.2017
203
74
BIT
0
Пока мне еще отвечают....
Цель: Хочу использовать eternal_doublepulsar, а в качестве payload - сгенерированный с помощью Empire stager, и в качестве обработчика сессии - listener Empire. Т.е. из Metasploit запускаем doublepulsar, а сессия должна прийти на Empire...

Есть отличный по Empire, где, в частности, упомянута работа Empire в связке с Metasploit. Думаю, что это то, что мне нужно, но никак не могу разобраться.

В гайде рассматривается два варианта...

1. Использование multi/handler.
Если я правильно понимаю, то handler - это обработчик приходящих извне подключений. Когда мы указываем в нем PAYLOAD, то handler принимает сессию конкретно от данного типа нагрузки(это так?). (Т.е. если сконфигурировали нагрузку с metrpreter/reverse_http, закинули ее клиенту, то и в handler надо указать в качестве payload - meterpreter/reverse_http). В моем случае нагрузка закидывается клиенту не как-то отдельно, а с помощью doublepulsar из msf. Как настроить хэндлер и d.pulsar в таком случае? И какую роль в этом играет dll? И почему этот сгенерированный dll указывается в хэндлере, а не в doublepulsar-е?

2. Использование windows/exec.

Здесь мы генерируем строку launcher-a в Empire. Далее (Вариант 1)в msf в windows/exec в качестве параметра CMD указываем эту строку и запускаем. Здесь получаю...

upload_2017-11-18_13-40-25.png

Пробовал с другими значениями CMD, обычными командами cmd, результат тот же.
Настройки эксплоита:

upload_2017-11-18_13-40-25.png

Что я не так настраиваю?

Во втором варианте данного способа, из launcher-а, который сгенеривал Empire, с помощью msfvenom генерируется exe-файл. И в параметре CMD указывается путь этого файла. В результате ошибка такая же как и на предыдущем скрине. Хотя если этот exe вручную залить на целевой хост и запустить, то сессия прилетает как надо.

Пролейте, пожалуйста, немного света на эту тему.

P.S. Главное, что не могу понять... В качестве payload msf предлагает нагрузки с созданием подключений bind или reverse соответственно. А если мне не нужно это подключение(дефолтные палятся АВ), а нужно просто с помощью эксплоита доставить тот же empire-launcher, который сам уже создаст сессию, как в таком случае поступать?
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
И какую роль в этом играет dll? И почему этот сгенерированный dll указывается в хэндлере, а не в doublepulsar-е?

Потому что сам код и сама суть эксплоита так построена. Что бы выполнялся именно заказанный файл, надо другой код и другие условия. Внедрение в процесс отличается от запускай файла локально.
 

Urfin--Juice

Gold Team
14.11.2017
203
74
BIT
0
ghostfisher,
1. не могли бы вы описать порядок действий для достижения цели?
2.
Есть ли соображения, почему msf ругается на значение параметра CMD?
 
D

dR0nyc

Люди добрые, выручайте. Уже запарился. Не приходит сессия и все тут. Использую reverse_tcp.
Эксплоит проходит, все гуд, бэкдурчик все дела. Но сессии нет, что за хрень. Порт 4444 пробросил, на сервисе на том же canyouseeme.org чекнул - Success, что еще ему надо, понять не могу... (
Screenshot from 2018-01-04 10-14-54.png
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
1) Пробуем на виртуальной машине своей
2) вместо reverse_tcp пробуем reverse_https
3) пробуем на разных сборках

4) описать подробнее как сейчас пробуется, что в настройках и кого атакуем.
 
D

dR0nyc

3456.JPG Дома стоит отдельный стационар с Кали с локальным ИП 192.168.1.46
Кали "чисто" поставленная. Без виртуалок и прочего. Дистрибутив скачен с офф источника - kali.org. Запилен на флешку по здешнему мануалу.
Куплен "белый" ИП у провайдера. Порты проброшены через роутер Кинетик Старт (вроде бы работает корректно). Но проброшены через маппинг, т.е. через 21й порт. Чисто без этих плясок порты не открываются, тот же 4444 либо 8443 и т.д.
На машине с Кали запущен фтп сервис, т.е. чтобы открылся 21й порт, без этого нибуя порт не открывается (кстати даже и на Win машине, хз в чем дело, может в прове). Атакуемая какая-то армянская машина ХР (для теста), подозреваю что х86-битная, т.к. пэйлоад и TARGETARCHITECTURE настроены в MSF на х86.
Screenshot from 2018-01-04 11-03-29.png Screenshot from 2018-01-04 11-04-22.png Screenshot from 2018-01-04 11-04-31.png Screenshot from 2018-01-04 11-23-04.png
Прилагаю возможные скрины
 

non_logs

Green Team
29.12.2016
144
79
BIT
0
Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина - потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

17164633.png

17164647.png

17164652.png


Если все пройдет успешно - получим доступ к тачке.

17164720.png


В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах - перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

Привет у меня вопрос а можно эксплоит юзать на удалённых пк? Я пытался узнать но вылазит что не та архитектура Kali и не работает а на чистом експлоите не запускается handler.
[doublepost=1515083258][/doublepost]
Посмотреть вложение 14348 Дома стоит отдельный стационар с Кали с локальным ИП 192.168.1.46
Кали "чисто" поставленная. Без виртуалок и прочего. Дистрибутив скачен с офф источника - kali.org. Запилен на флешку по здешнему мануалу.
Куплен "белый" ИП у провайдера. Порты проброшены через роутер Кинетик Старт (вроде бы работает корректно). Но проброшены через маппинг, т.е. через 21й порт. Чисто без этих плясок порты не открываются, тот же 4444 либо 8443 и т.д.
На машине с Кали запущен фтп сервис, т.е. чтобы открылся 21й порт, без этого нибуя порт не открывается (кстати даже и на Win машине, хз в чем дело, может в прове). Атакуемая какая-то армянская машина ХР (для теста), подозреваю что х86-битная, т.к. пэйлоад и TARGETARCHITECTURE настроены в MSF на х86.
Посмотреть вложение 14344 Посмотреть вложение 14345 Посмотреть вложение 14346 Посмотреть вложение 14347
Прилагаю возможные скрины
Посмотри ошибку на github меня он часто выручал)
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Привет у меня вопрос а можно эксплоит юзать на удалённых пк?

Чем отличается удаленный от локального? Только тем, что кабель длиньше и пару железок на пути стоит. Ответ - МОЖНО, вспоминаем ВанаКрай
[doublepost=1515083549,1515083352][/doublepost]
Посмотреть вложение 14348
На машине с Кали запущен фтп сервис, т.е. чтобы открылся 21й порт, без этого нибуя порт не открывается (кстати даже и на Win машине, хз в чем дело, может в прове)
Прилагаю возможные скрины

1) думаю дело именно в таких настройках сети - надо попробовать пробросить так свой апач, сделать порт 8080 к примеру, далее на него делать проброс и пробуем удаленно подключение, или открыть порт неткатом и пробросить так же, пробовать подключение

2) Где гарантия - там XP? МБ там нечто иное и хорошо настроенное. ХР давно уже убилобы до твоего пришествия;)
 

non_logs

Green Team
29.12.2016
144
79
BIT
0
Чем отличается удаленный от локального? Только тем, что кабель длиньше и пару железок на пути стоит. Ответ - МОЖНО, вспоминаем ВанаКрай
В моём случае он отказивался работать совсем сколько уроков пересмотрел там только в локальной может там ограничение?
 
D

dR0nyc

Интересно девки пляшут. С bind_tcp метерпретер здравствуйте... Что за хрень то такая блин
Screenshot from 2018-01-04 11-32-23.png
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
В моём случае он отказивался работать совсем сколько уроков пересмотрел там только в локальной может там ограничение?

1) Не будет работать - если не верно настроена СЕТЬ
2) Не будет работать - система под атакой имеет патч закрывающий уязвимость
3) Не будет работать - настройка экплоита имеет ошибочные параметры ( порт, реверс, и т.д )
4) Если говорить по эксплоит с гитхаба - для его эксплуатации требуется наличие всех зависимостей

5) Эксплоит может сработать, но не дать реверс, а вызвать синий экран, кстати вот это реально может быть "с армянской машиной"
[doublepost=1515083999,1515083826][/doublepost]
Интересно девки пляшут. С bind_tcp метерпретер здравствуйте... Что за хрень то такая блин
Посмотреть вложение 14349

В #109 посте писал - сменить реверс, если не катит один вариант реверса, пробуем другие, тоже самое можно пробовать с процесами - помимо lsass.exe есть и другие.
 
  • Нравится
Реакции: Vertigo

non_logs

Green Team
29.12.2016
144
79
BIT
0
Интересно девки пляшут. С bind_tcp метерпретер здравствуйте... Что за хрень то такая блин
Посмотреть вложение 14349
Он работает) но можно просто открыть сам експлоит в лефтпаде покомайся и посмотри какая часть кода отвечает за вывод этого текста и включи логику попробуй найти что делает этот код)
[doublepost=1515084290,1515084067][/doublepost]
1) Не будет работать - если не верно настроена СЕТЬ
2) Не будет работать - система под атакой имеет патч закрывающий уязвимость
3) Не будет работать - настройка экплоита имеет ошибочные параметры ( порт, реверс, и т.д )
4) Если говорить по эксплоит с гитхаба - для его эксплуатации требуется наличие всех зависимостей

5) Эксплоит может сработать, но не дать реверс, а вызвать синий экран, кстати вот это реально может быть "с армянской машиной"
[doublepost=1515083999,1515083826][/doublepost]

В #109 посте писал - сменить реверс, если не катит один вариант реверса, пробуем другие, тоже самое можно пробовать с процесами - помимо lsass.exe есть и другие.
Спасибо за ответ возможно пункт первый потому что WiFi через который я сижу он не мой)))
 
  • Нравится
Реакции: Ondrik8
D

dR0nyc

В #109 посте писал - сменить реверс, если не катит один вариант реверса, пробуем другие, тоже самое можно пробовать с процесами - помимо lsass.exe есть и другие.
Это понятно. Просто интересен тот факт, что и раньше при "сером" ИП bind_tcp выдавал мне сессию, на ХР и пару раз на Win7. Поэтому -то я и взял белый ИП, пробросил порты, чтобы железобетонно получать сессии, по крайней мере в тех случаях, когда эксплойт проходит, как на скрине выше в моем первом посте. Т.к. я предпологал, что всему виной это мой серый ИП, и не проброшенные порты. А сейчас получается что все, в принципе условия выполнены, но у меня также проблемы с сессиями как и на сером ИП. Напрашивается вывод: и накой хер я тогда покупал белый ИП, если "всё тоже самое" :) Вот что печалит
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Я в два счёта взломал админ панель роутера открыл порт взял его чекать, а он закрыт

Возможно у твоего юзера нет полных прав. Есть прошивки на роутере, где учетки ест типа Юзер и Админ и действия юзера надо админом подтверждать. Редкость однако. Теперь давай посмотрим более реально - а как роутер выходит в инет? не через VPN тунел часом или черещ еще какое железо? Надо смотреть ip в роутере, которое выдается при коннекте, смотреть какоей ip в инете определяется, не плохо глянуть трейсроут, выяснить имя провайдера (по IP) и почитать его техничку на абонента.
[doublepost=1515089848,1515089595][/doublepost]
и накой хер я тогда покупал белый ИП, если "всё тоже самое" :) Вот что печалит


Я не пойму, на кой вообще это делать из дома? Ты думаешь это такая шутка безобидная? Посмотри мой пост выше, я повторю - на том конце у системы может быть синий экран, что очень часто бывает у этого эксплоита, и ты не получаешь обратку так как там система ушла в ребут с синевой. Серей/белый - нет разницы, так как на момент атаки у тебя адрес живой, одно дело когда ты ждешь обратку от полезной нагрузки и твой адрес может измениться когда аренда обновиться, разумеется связи не будет.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!