2017年4月那天,安全界突然炸开了锅,因为一个声称自己组织入侵了NSA的方程式组织的黑客组织shadowbrokers放出了一份震撼安全界的文件,文件中包含了许多windows大杀器以及相关nsa入侵swift银行的数据,而那些放出来的东西可以说是到现在一直有人在使用,
当时,使用NSA泄露的永恒之蓝MS17-010SMB v1漏洞则被用于制作了勒索软件wannacry,这个软件在世界上多个国家通过445端口进行传播,中国的教育机构以及学校也属于重灾区,由于校园局域网,很多学生的电脑又由于不及时更新,或使用过于老旧的操作系统而受到攻击,
而时间过了这么久,这些exploit也早已过了0day时期,但是不是就说明我们身边的同学已经装好了补丁,已经升级了操作系统呢,今天我们就用一些简单的工具进行测试,看看是否如此,(所用到的工具将会在文章后面给出下载链接)
本人的实验环境:win10企业版,py2.6.6,pywin2.6.6,连上了校园网(锐捷)
接下来开始行动。。。。。
首先我们使用一个端口扫描器批量的扫描校园网中开放了445端口的主机(当然你也可以使用nmap)进行扫描
可以看到内网中有很多的主机开放了445端口,但他们并不一定有漏洞,所以我们还需要批量扫描这些主机是否存在漏洞,
我们将扫到的IP复制粘贴到一个新建txt文档中,并使用编辑替换功能去掉所有IP后的端口号
然后我们将含有ip的txt和工具放在同一目录下,使用DOS命令行切换至目录使用-file参数指定txt文本开始批量扫描
(由于是晚上,在线的主机可能并不多)我们可以看到还是有一些主机存在着漏洞,扫描结果会保存到该目录下的result.txt文件中(我们学校在我扫到的IP中漏洞主机有135台,占比10%,不要小看这10%,毕竟这并不是完整的主机列表,还没算上一些大一新生和关机用户)
接下来我们使用shadowbrokers泄露的fuzzbench(fb.py)对目标进行攻击,还进什么是已经配置好的
使用DOS命令行cd到工具所在目录,使用fb.py启动
接下来设置目标IP(这里我们选择从扫描器中扫描到的漏洞主机IP)
在选择前记得ping一下,看看主机是否还在线
然后设置监听IP(使用ipconfig产看自己的IP地址)然后use redirection那一项选择no,日志地址自行设定(这个日志在后期的工具中有用)
首先我们使用smbtouch模块来检测对象的系统版本以及可用的漏洞,(use smbtouch)
然后输入execute开始检测
这里我们可以看到目标的系统是win7 64位 SP1存在eternalblue漏洞
然后使用use 命令使用模块,这里我们使用ETernalblue进行攻击(命令是可以使用tap键补全的)
前期可以一直回车,到了这里
选择之前我们smbtouch得到的系统版本,这里我们选择默认回车即可,
然后这里,我们选择FB
然后一直回车开始在目标机器上安装永恒之蓝后门
可以看到我们成功地在目标的机器上安装了漏洞,(某些机器在安装了永恒之蓝漏洞后会出现重启蓝屏现象,有的则会卡在backdoor installed FALL处,具体原因可能是因为对方的杀毒软件发现了攻击,用户点击了拒绝造成的,还有一种原因就是因为设备过于老旧,但一般情况下,是不会出现任何问题的)
这之后我们开始使用我们的远控,在泄露文档的Windows目录下有一个start.jar的java程序我们双击打开它,这是一个类似metasploit的远控图形化软件叫做Danderspritz,这应该是nsa黑客为了方便控制肉鸡写出来的gui程序),功能很多,如果你使用metasploit进行渗透的话也时可行的,当然这个工具的使用需要你安装JAVA环境。
双击代开后start.jar后需要设置几个地方
第一行是配置Danderspritz的文件位置就是泄露文件的windows文件夹下
第二行则是配置资源位置,在泄露文档中的/windows/Resources目录下
第三行尤为重要他设置的是第一步中日志文件的位置,如果这里没有配置好danderspritz将无法正常工作,
第四行设置为泄露文夹下的/windows/UserConfiguration目录
这些设置好后点击GO
我们会得到一个这样的界面
按下TAP键你可以看到很多命令,然后我们开始用这个工具对目标进行控制
首先使用pc_prep命令创建payload(同样命令可以通过TAP补全)
然后针对我们目标系统的位数(32位/64位)选择相应的payload(一般使用选项19和1)
这里由于目标是64位所以我们选择19
回车,到这一项时选择yes
然后一直回车,到这一步时选择yes更改监听端口,我设置的是6666回车(尽量不要使用常用端口)然后输入0回车结束端口输入 
然后下一步选择密钥这里我们可以选择default默认也可以创建,选择好后回车
继续回车到这一步时选择no
这样我们的payload就创建好了,接下来我们使用fb.py中的Doublepulsar进行dll注入攻击
我们输入use Doublepulsar,一直回车,到这一步时候根据目标的操作系统选择,这里我选择64位
然后我们选择2)RUNDLL
复制刚刚使用dander生成的payload地址,然后一直回车
当出现这个的时候说明payload已经成功注入到目标的相应进程中,
然后回到dander,选择箭头所指的模块
Key那一栏选择创建payload是选择的密钥
IP Adress填写目标IP,旁边填写创建payload时选择的端口(我的是6666)然后点击conect to target,然后。。。。。。。就开始了邪恶的事情了,开始不停地跑,会列出目标安装的软件,驱动,进程,开机密码,磁盘列表等等
这一步选择yes,然后选择1
然后出现什么提示都选择yes,到了这一步,在对话框中填入1,回车
接下来会列出目标机器的一些硬件信息,
在跑代码期间我们可以来添加一些插件,右键单击这些空白处,或是模块,再弹出来的对话框中,选择plugins
第一个是命令行就是我们之前创建payload的窗口,他默认会给你开五个在下面,
第二个是开发工具是一些日志浏览,脚本编辑的工具
第三个是浏览目标机器的文件,
第四个是开启五个终端
第五个是日志浏览
第六个是监视器,用来监视目标机器的所有进程行为
第七个是网络状况
第八个,第九个忽略
第十个,查看目标进程,右键点击进程可以中止
第十一个截图查看,通过截图命令截的图在这里显示
shell,使用目标机器的cmd
最后一个:下载对方文件后,显示在此,类似一个内网迅雷
比较常用的就是上面这些
在添加插件是,所有的项目也已经加载完毕,我们使用whoami查看我们所得到的权限(system)
接下来我们使用screenshot命令截个图
可以看到对方正在玩天涯明月刀,
更多的命令可以使用tap键查看
使用file插件,产看对方的文件(再打开磁盘后我们需要在窗口中点击右键,选择dir后,才能完整读取文件列表)
我们还可以通过右键单击文件选择get下载目标机器上的文件,
下载的文件会在插件transfer monitor中显示,右键单击文件选择save可以保存(保存时删除掉后面的.000)
我们也可以通过process插件查看或中止目标机器的进程(注意,进程前带小企鹅的表示是系统进程,前面有感叹号的代表是安全软件)
shell插件中那两个选项框都选择oem后点击start shell即可打开目标机器的cmd
由于太晚那位同学关电脑睡觉了,我也没办法给他留个提示啥的,所以就这样吧。
从这次的入侵可以看出,任然有很多同学并不是很重视信息安全,试想一下若是不法分子使用该漏洞入侵你的电脑,严重的他可能会到去盗取你的个人信息,以及账号密码,破坏文档资料等等,轻者则会在你打团开黑的时候给你关个机,我所使用的这些工具都是在网上可以找到的,除了这个dander其他的工具都有是有详细教程的,所以任何一个人对于像这种有漏洞的机器都可以进行破坏,所以,按时的升级操作系统,打好补丁,不随意点击下载任何不明软件,捡的U盘别往电脑上插(轻者烧了你的电脑,重者使用CVE-2017-8464让你不知不觉中招),
安全是相对的,不安全是绝对的,所以,在这个几乎没有隐私存在的时代,多关注了解信息安全,保护好你那仅存的隐私
所用到的工具:链接: https://pan.baidu.com/s/1mi3M5tu 密码: haha
发表评论