NSA tools
ReZero lol
  2017-08-01 07:25:35 2017-08-01 07:25      

标签: injection security python shadowbroker tool

介绍

去年八月,ShadowBroker 发布了一套从NSA那偷来的工具,一个GitHub库对此fork了一份: 工具库 在这份文档中,我们将重点转移到ETERNALBLUE上(针对win和插件DOUBLEPULSAR)。为了使这波操作离开要命的敲代码。我们会使用FUZZBUUNCH, 这可是NSA他娘的意大利炮。

为啥选Eternalblue 和 DoublePulsar

在暗影众多的 win爆 工具中, Eternalblue 是 唯一一个可以用来攻击win7 和 win server 2008 而 不需要权限 的。 除此之外,我们可以用插件 DOUBLEPLUSAR 来注入到目标远程端一个恶意的DLL。 记住了小伙鸡, 我们可以注入任何我们想要的 DLL; 我们将用 Empire 创建一个恶意的DLL 来 获取一个 反向连接(从目标鸡到攻击鸡)

安装部分

我们需要三台机器在同一个当地网络(LAN, local area network) 1. 目标鸡(Win 7/2008) 一只鸡配备了 win7/2008 可以用来当目标鸡。然后这只鸡我们只要知道它的IP就行了。 2. 攻击公鸡 这只鸡要配备上我们的子弹, 首先它得是 winxp, 然后就是 py2.6, 然后就是你在win鸡上安装 pyWin32 v2.12 这个玩意才跑得动。 3. 攻击母鸡 最后了,我们只需要在找个linux鸡岸上Empire 和 Metasploit 工具。 Empire Metasploit 当然,如果你没有神奇的海螺,为啥不kali kali呢? 这次计划,我们配备了这样的鸡 - win7 - 192.168.1.109 -> 目标鸡 - winxp - 192.168.1.108 -> 有FUZZBUNCH的攻击公鸡 - LInux (Debian jessie )- 192.68.1.105 -> 有Empire和 metasploit的攻击母鸡

安装 FuzzBunch

Python 2.6(环境变量) PyWin32 v2.12 Notepad++ (notepad++) 上面这三个下载下来,一顿next,Accept干下来就老实了。

  1. 现在打开那个暗影那个工具包, 找到 win下 那个fb.py 想直接跑不存在的,你这找到fb的72行, 注释了他, 因为你电脑里没这个字典 directory

  2. 然后还得改一个Fuzzbunch.xml 的文件(也是这个目录) 然后把19, 24 行的目录代码改成你电脑里有的俩,或者自己照着创建也行(那你还真可爱) file

  3. 好了弟兄们, 操练起来, 找个cmd 把这个fb跑起来吧 fb.py

    • 先把目标鸡的ip输进去
    • 再把自己的ip输进去(攻击公鸡)
    • 给你这个计划起个鸡**名吧

    Fuzznunch

用EternalBlue 发功, 攻击目标鸡

和metasploit差不多, 先 use 一下 然后剩下的都按默认来—–除了!mode要设置为1 mode 运气好的话,这枚意大利炮就打过去了 EternalBlue

用Empire 做一个 恶意的 DLL

我们创建一个DLL用来进行远程注入到刚才那只被EternalBlue感染了的鸡,那么怎么创建呢? 找一个安了Empire的linux 1. 开一个监听端口, 这样能收反向连接 reverse connection 2. 创建这个DLL,把他放在公鸡上,这样FUZZBUNCH就可以妙用它 DLL

通过DoublePulsar进行注入DLL

回到 XP公鸡, 我们这次在FUZZBUNCH 上 use DoublePulsar,除了下面的这些参数,其他的按默认来 DoublePulsarconfigDoublePulsar现在进入到重要环节了,把那个dll的路径输上 dllPath 最后,我们run一下这个 DOUBLEPULSAR DOUBLEPULSAR 如果这只公鸡够骚, 那么。。。嘿嘿嘿 Doublepulsar Succeded!

得到 Empire Session

上一步成功后, 我们的母鸡也会得到一个反向连接 reverse connection 以上就是全部内容,Complete!

合到 Meterpreter上

事实上上面的步骤可以简化, 这就需要 meterpreter了 1. 开一个端口监听,payload:windows/meterpreter/reverse_https 2. 在 Empire 中, 运行 这个 code_execution 模块来注入meterpreter模块的代码 3. 获取 meterpreter session Meterpreter

Remark

Finally, we’ve obtained a Meterpreter shell on a Windows 7 SP1 x64 without needing for user interaction, just with knowing its IP. This reminded me of the ease with which access to a Windows XP is obtained through ms08_067. A curious detail is that, according to the timestamp of ETERNALBLUE, the NSA had this since 2011… 还有大佬们: For helping me to write this paper: Cristian Borghello (@crisborghe / @seguinfo). For being by my side whenever I need it: Claudio Caracciolo (@holesec). Luciano Martins (@clucianomartins). Ezequiel Sallis (@simubucks). Mateo Martinez (@MateoMartinezOK). Sol (@0zz4n5). @DragonJar || @ekoparty || “Las Pibas de Infosec”

Sheila A. Berta - @UnaPibaGeek.

  • Post title:NSA tools
  • Post author:ReZero
  • Create time:2017-08-01 07:25:35
  • Post link:https://rezeros.github.io/2017/08/01/nsa-tools/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.
 Comments
Contents
  1. 介绍
    1. 为啥选Eternalblue 和 DoublePulsar
    2. 安装部分
  2. 安装 FuzzBunch
  3. 用EternalBlue 发功, 攻击目标鸡
  4. 用Empire 做一个 恶意的 DLL
  5. 通过DoublePulsar进行注入DLL
  6. 得到 Empire Session
  7. 合到 Meterpreter上
  8. Remark