ms17 010

FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
利用NSA的MS17-010漏洞利用工具实现Win 7和Win Server 2008系统入侵 clouds专栏作者2017-04-28金币奖励+10共1202177人围观，发现 34 个不明物体系统安全
maxresdefault (1).jpg

影子经纪人（Shadow Brokers）最近陆续曝光的NSA网络武器令人震惊，尽管这些工具是否出自国家级别黑客团队之手尚不清楚，但至少存在一个可以说明问题的事实：这些漏洞利用工具都能有效运行，且具有一定程度的威胁杀伤力。在此，我用NSA的两个大杀器演示对Win 7和Windows Server 2008系统进行漏洞利用和入侵控制的过程复现。

复现工具说明
在需要用到两个比较有意思的工具，一个为针对微软上个月才刚刚修复的MS17-010漏洞后门利用程序–EternalBlue（从目前使用情况来看，相对比较稳定），该漏洞利用程序影响Windows 7和Windows Server 2008大部分版本系统，无需认证权限就能实现系统入侵控制；另一个为可以远程向目标控制系统注入恶意DLL或Payload程序的插件工具DOUBLEPULSAR。综合利用这两个工具，入侵攻成功之后，我们可以实现对目标系统执行Empire/Meterpreter反弹连接控制。在此过程中，我们还需要用到NSA使用的类似Metasploit的漏洞利用代码攻击框架FUZZBUNCH。当然，我们首先还得把Shadow Brokers泄露的工具下载到系统中来。

环境设置
受害者靶机系统（Windows 7/2008）–> Windows 7 SP1 x64 – 192.168.1.109不需要做其它额外配置，只需要系统开启，知道IP即可；

攻击控制者系统1（Windows XP）–> Windows XP SP3 x32 – 192.168.1.108，需要安装Python 2.6程序和PyWin32 v2.12，调试运行攻击框架FUZZBUNCH；

攻击控制者系统2（(GNU/Linux）–> Debian Jessie x64 – 192.68.1.105，需要用到Linux系统下的Empire和Metasploit相关工具，当然，你也可以使用Kali。

FuzzBunch环境设置
从上述描述可知，该攻击框架运行条件为Python 2.6（下载链接）和老版本的PyWin32 v2.12（下载链接），为此，我们在攻击控制者系统1的Windows XP系统中下载安装。

注意，所有环境安装配置好之后，我们在FUZZBUNCH目录下以CMD形式执行python fb.py命令，将会提示未找到“Listening post”错误，原因在于指定运行配置属性为空，所以，我们可以用编辑器把fb.py源码的第72行“Listening post”相关部分注释掉：

图片1.png

另外，在相同目录下找到Fuzzbunch.xml文件，用我们本地系统相关路径把其中的第19行和第24行路径进行覆盖，如下图所示：

图片2.png

OK，FUZZBUNCH可以正常运行：

图片3.png

FUZZBUNCH的初始化过程中，将会需要输入攻击目标IP和回连控制IP，在这里我分别输入靶机系统的控制系统1（xp）的IP地址，如下图所示：

图片4.png

点击“enter”继续，会提示输入工程名，在此，我们用”eternal1″，在该工程名目录下将会生成一些日志记录文件：

图片5.png

用EternalBlue攻击入侵Windows 7/2008
首先，我们在FUZZBUNCH终端上用命令“use EternalBlue”选择使用EternalBlue作为漏洞利用工具：

图片6.png

在此，我们将会使用很多默认配置参数，但在以下配置模式中，我们应该选择1模式：

图片7.png

最终，对目标系统运行EternalBlue之后，将会回应成功执行消息“Eternalblue Succeeded”。

图片8.png

使用Empire生成恶意DLL文件（Payload）
由于上一步骤中靶机系统已经被EternalBlue成功植入后门，所以在该步骤中，我们将使用Empire生成恶意DLL文件（Payload），并用DOUBLEPULSAR实现远程注入。

在攻击控制者系统2的Linux系统中，我们使用Empire进行Payload创建：

图片9.png

step 1:构造一个反弹回连监听进程Linstener，注意Host IP地址应为该Linux系统IP 192.68.1.105：

图片10.png

step 2:创建恶意DLL Payload文件/tmp/launcher.dll：

图片10.png

有了DLL的Payload文件之后，我们把它拷贝到XP系统，回到XP攻击框架FUZZBUNCH中调用DoublePulsar

进行上传注入。

使用DoublePulsar向目标系统中注入Payload文件
回到XP系统中，在FUZZBUNCH终端使用“use DoublePulsar”命令运行DoublePulsar：

图片11.png

此时，我们应该确保使用以下配置选项，如攻击目标系统架构（这里为x64）、执行DLL注入的“RunDLL”等：

图片12.png

同时，DoublePulsar还会询问我们DLL的Payload文件位置，我们给出其拷贝到XP系统的具体路径便可。

之后，命令询问是否执行DoublePulsar，yes之后将会执行远程注入：

图片13.png

图片14.png

不出意外，将会得到成功执行的消息显示“Doublepulsar Succeded”。

通过Empire获取反弹控制连接
DoublePulsar成功执行之后，我们会在攻击控制的Linux系统中得到一个反弹连接：

图片15.png

OK，目标机器系统已经被完全控制了！

迁移到Meterpreter中进行反弹连接控制
由于在Meterpreter平台上能执行与Empire一样的控制命令，所以，我们也可以把反弹连接移植到Meterpreter上进行控制。

step 1: 使用windows/meterpreter/reverse_https，配置Meterpreter监听进程:

图片16.png

图片17.png

step 2：在Empire中执行“code_execution” ，注入meterpreter模块：

图片18.png

Step 3: 从Meterpreter端获取控制连接：

图片19.png

*参考来源：exploit-db，freebuf小编clouds编译，转载请注明来自FreeBuf.com。

clouds
clouds
294 篇文章
等级： 9级
||
上一篇：NSA Fuzzbunch中EternalRomance工具复现过程下一篇：使用Empire“探索”Windows个人电脑
这些评论亮了

风在指尖 (2级)web交流群 710033120回复
这个要别人开启445端口和关闭防火墙才行
)22(亮了

addison66 (4级)大奶萌妹请私聊我回复
i don't know what to say ,but fu*k you !
)9(亮了
发表评论已有 34 条评论

R00to1 (3级) 2017-04-28回复 1楼
666666

亮了(1)

addison66 (4级) 大奶萌妹请私聊我 2017-04-28回复 2楼
i don’t know what to say ,but fu*k you !

亮了(9)

浪子_大少 2017-04-28回复
@ addison66 oh! xiongdi 6666 ,fuck hem.

亮了(4)

风在指尖 (2级) web交流群 710033120 2017-04-28回复 3楼
这个要别人开启445端口和关闭防火墙才行

亮了(22)

Jumbo (6级) 论坛https://www.chinabaiker.com 2017-04-28回复 4楼
win7/2008利用的就不要发了。

亮了(3)

ClownGuB (1级) 2017-04-28回复 5楼
这一个故事要讲到过年吗？

这是西游记，还是新白娘子传奇！！！

亮了(5)

test 2017-04-28回复 6楼
早玩腻了，还发

亮了(3)

ztencmcp (3级) 2017-04-28回复 7楼
很多杀软都可以检测到SMB Attack了

亮了(0)

eval0day (4级) FB特约首席安全顾问 2017-04-28回复 8楼
我还是比较感兴趣那些几秒拿下xx浏览器的

亮了(3)

大清亡了 2017-04-28回复 9楼
！

亮了(0)

一月的周先生 (2级) 2017-04-28回复 10楼
how old are you？？？？？

亮了(1)

周公 2017-04-28回复 11楼
我会告诉你·全自动的利用工具都有了吗？

亮了(1)

nols 2017-04-28回复
@ 周公来一个

亮了(0)

澄少 2017-05-01回复
@ 周公求发一份

亮了(0)

吸血鬼 (1级) 2017-04-28回复 12楼
为什么我的2008环境有漏洞，但是写不进去dll

亮了(0)

test 2017-04-28回复 13楼
从你说靶机什么都不要做，后门又是445端口后，局不想看了，抄来的吧

亮了(1)

纯粹213 (1级) 2017-04-28回复 14楼
360目前是检测不到这个的,貌似

亮了(0)

sizeofchar (3级) 2017-04-28回复 15楼
FB发表文章没有审核人员吗？类似的用例要发多少才够呢

亮了(2)

自动化来了 2017-04-28回复 16楼
将exp添加进msf傻瓜利用。上述使用过程设置的太多了。

https://www.hi-noob.com/20170427/ms17_010/

亮了(2)

123 2017-05-06回复
@ 自动化来了为什么msf加载不了exp？

亮了(0)

1 2017-04-28回复 17楼
https://www.hi-noob.com/20170427/ms17_010/

亮了(1)

leohpu (3级) 小白 2017-04-29回复 18楼

亮了(0)

豹哥 2017-04-30回复 19楼
Shadow Brokers 的正确翻译不是“影子经纪人”，而是“暗黑破坏者”或“影子破坏者”。 Broke: 破坏， Broker：搞破坏的人。

亮了(1)

欧阳洋葱专栏作者(8级) 关注半导体，关注成像，关注安全. 2017-04-30回复
@ 豹哥有关你的这个问题，我们编辑内部做过一些简单的商议，实际上破坏是break，而broke只是其过去式；你可以查一下broker究竟是什么意思，并不存在过去式的某种名词表达法；而且按照情境，这个黑客组织也更倾向于“经纪人”，虽然这个表达可能并不准确，但也不是“破坏者”。

亮了(2)

豹哥 2017-04-30回复
@ 欧阳洋葱 http://dict.cn/broke broke 是动词“破坏“， broker 是破坏者。就像 write 是写， writer 是作者、 read 是读 , reader 是读者一样。翻译成“经纪人”，显然是不符合语言环境的。

亮了(1)

一切皆有可能 (1级) 皮一下可以 2017-07-26回复
@ 豹哥如果取破坏的意思，应该用原形，也就是breaker的意思

亮了(0)

jachin (1级) 2017-05-15回复
@ 豹哥 broker是中介

亮了(0)

hzy 2017-05-15回复
@ 豹哥 broker翻译是经纪人，你弄错了Shadow Brokers的意思，它在有道翻译上是影子经纪人

亮了(0)

临时 2017-05-01回复 20楼
请问怎么清除痕迹呢？就是恢复让受害者的电脑恢复原来的样子。

亮了(0)

哈哈 2017-05-15回复 21楼
现在终于爆发了

亮了(1)

机械葫芦娃 2017-05-15回复 22楼
我这只是理论探讨，你知道我的好多代码都只在我的电脑上跑跑，都没拿出来过汗

亮了(0)

熊猫真君 2017-05-15回复 23楼
。。。我之前咋说的

亮了(0)

jesus C (1级) 2017-05-16回复 24楼
说这种方法有问题的垃圾的。现在是不是脸挺痛的

亮了(0)

NSA.A 2017-05-19回复 25楼
为什么我下载的工具里面没有EternalBlue呢？

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
clouds
clouds专栏作者

I am a robot ,do not talk to me ,code to me.

294
文章数
38
评论数
最近文章
市面上多种流行的固态硬盘产品存在硬盘加密机制绕过漏洞
2018.11.11

看我如何利用发现的漏洞接管D-Link路由器
2018.11.10

研究人员欲公布微软Edge浏览器0-day沙盒逃逸漏洞
2018.11.08

浏览更多
相关阅读
围观方程式组织“杀器”ExtraBacon，思科新版ASA防火墙也遭殃美国国安局（NSA）发布简报：中国黑客5年内成功入侵600多家美国企业机构NSA新型APT框架曝光：DarkPulsarBig Brother的Dual_EC_DRBG无间道：NSA在多个国家布控卧底进行网络窃密
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

ms17 010

文章评论