影子经纪人(Shadow Brokers)最近陆续曝光的NSA网络武器令人震惊,尽管这些工具是否出自国家级别黑客团队之手尚不清楚,但至少存在一个可以说明问题的事实:这些漏洞利用工具都能有效运行,且具有一定程度的威胁杀伤力。在此,我用NSA的两个大杀器演示对Win 7和Windows  Server 2008系统进行漏洞利用和入侵控制的过程复现。

复现工具说明

在需要用到两个比较有意思的工具,一个为针对微软上个月才刚刚修复的MS17-010漏洞后门利用程序–EternalBlue(从目前使用情况来看,相对比较稳定),该漏洞利用程序影响Windows 7和Windows Server 2008大部分版本系统,无需认证权限就能实现系统入侵控制;另一个为可以远程向目标控制系统注入恶意DLL或Payload程序的插件工具DOUBLEPULSAR。综合利用这两个工具,入侵攻成功之后,我们可以实现对目标系统执行Empire/Meterpreter反弹连接控制。在此过程中,我们还需要用到NSA使用的类似Metasploit的漏洞利用代码攻击框架FUZZBUNCH。当然,我们首先还得把Shadow Brokers泄露的工具下载到系统中来。

环境设置

受害者靶机系统 (Windows 7/2008)–> Windows 7 SP1 x64 – 192.168.1.109不需要做其它额外配置,只需要系统开启,知道IP即可;

攻击控制者系统1(Windows XP)–> Windows XP SP3 x32 – 192.168.1.108,需要安装Python 2.6程序和PyWin32 v2.12,调试运行攻击框架FUZZBUNCH;

攻击控制者系统2((GNU/Linux)–> Debian Jessie x64  – 192.68.1.105,需要用到Linux系统下的Empire和Metasploit相关工具,当然,你也可以使用Kali。

FuzzBunch环境设置

从上述描述可知,该攻击框架运行条件为Python 2.6(下载链接)和老版本的PyWin32 v2.12(下载链接),为此,我们在攻击控制者系统1的Windows XP系统中下载安装。

注意,所有环境安装配置好之后,我们在FUZZBUNCH目录下以CMD形式执行python fb.py命令,将会提示未找到“Listening post”错误,原因在于指定运行配置属性为空,所以,我们可以用编辑器把fb.py源码的第72行“Listening post”相关部分注释掉:

另外,在相同目录下找到Fuzzbunch.xml文件,用我们本地系统相关路径把其中的第19行和第24行路径进行覆盖,如下图所示:

OK,FUZZBUNCH可以正常运行:

FUZZBUNCH的初始化过程中,将会需要输入攻击目标IP和回连控制IP,在这里我分别输入靶机系统的控制系统1(xp)的IP地址,如下图所示:

点击“enter”继续,会提示输入工程名,在此,我们用”eternal1″,在该工程名目录下将会生成一些日志记录文件:

用EternalBlue攻击入侵Windows 7/2008

首先,我们在FUZZBUNCH终端上用命令“use EternalBlue”选择使用EternalBlue作为漏洞利用工具:

在此,我们将会使用很多默认配置参数,但在以下配置模式中,我们应该选择1模式:

最终,对目标系统运行EternalBlue之后,将会回应成功执行消息“Eternalblue Succeeded”。

使用Empire生成恶意DLL文件(Payload)

由于上一步骤中靶机系统已经被EternalBlue成功植入后门,所以在该步骤中,我们将使用Empire生成恶意DLL文件(Payload),并用DOUBLEPULSAR实现远程注入。

在攻击控制者系统2的Linux系统中,我们使用Empire进行Payload创建:

step 1:构造一个反弹回连监听进程Linstener,注意Host IP地址应为该Linux系统IP 192.68.1.105:

step 2:创建恶意DLL Payload文件/tmp/launcher.dll:

有了DLL的Payload文件之后,我们把它拷贝到XP系统,回到XP攻击框架FUZZBUNCH中调用DoublePulsar

进行上传注入。

使用DoublePulsar向目标系统中注入Payload文件

回到XP系统中,在FUZZBUNCH终端使用“use DoublePulsar”命令运行DoublePulsar:

此时,我们应该确保使用以下配置选项,如攻击目标系统架构(这里为x64)、执行DLL注入的“RunDLL”等:

同时,DoublePulsar还会询问我们DLL的Payload文件位置,我们给出其拷贝到XP系统的具体路径便可。

之后,命令询问是否执行DoublePulsar,yes之后将会执行远程注入:

不出意外,将会得到成功执行的消息显示“Doublepulsar Succeded”。

通过Empire获取反弹控制连接

DoublePulsar成功执行之后,我们会在攻击控制的Linux系统中得到一个反弹连接:

OK,目标机器系统已经被完全控制了!

迁移到Meterpreter中进行反弹连接控制

由于在Meterpreter平台上能执行与Empire一样的控制命令,所以,我们也可以把反弹连接移植到Meterpreter上进行控制。

step 1: 使用windows/meterpreter/reverse_https,配置Meterpreter监听进程:

step 2:在Empire中执行“code_execution” ,注入meterpreter模块:

Step 3: 从Meterpreter端获取控制连接:

利用NSA的MS17-010漏洞利用工具实现Win 7和Win Server 2008系统入侵的更多相关文章

  1. 挖洞经验 | 绕过WAF限制利用php:方法实现OOB-XXE漏洞利用

    几个星期以前,作者在某个OOB-XXE漏洞测试中遇到过这样一种场景:目标应用后端系统WAF防火墙阻挡了包含DNS解析在内的所有出站请求(Outgoing Request),但最终,通过利用php:// ...

  2. 漏洞利用 Exploit---利用默认口令、IP假冒、应用漏洞

    漏洞利用 编辑 讨论 本词条由“科普中国”科学百科词条编写与应用工作项目 审核 . 漏洞利用(英语:Exploit,本意为“利用”)是计算机安全术语,指的是利用程序中的某些漏洞,来得到计算机的控制权( ...

  3. Shiro反序列化漏洞利用汇总(Shiro-550+Shiro-721)

    Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能.Shiro框架直观.易用,同时也能提供健壮的安全性. 文章目录: 1.Shiro rememberMe ...

  4. 向日葵远程RCE漏洞分析及漏洞利用脚本编写

    0x00 漏洞概述 向日葵是一款免费的,集远程控制电脑.手机.远程桌面连接.远程开机.远程管理.支持内网穿透等功能的一体化远程控制管理软件.如果想要手机远控电脑,或者电脑远控手机可以利用向日葵:如果是 ...

  5. 如何在Windows Server 2008 R2没有磁盘清理工具的情况下使用系统提供的磁盘清理工具

    今天,刚好碰到服务器C盘空间满的情况,首先处理了临时文件和有关的日志文件后空间还是不够用,我知道清理C盘的方法有很多,但今天只分享一下如何在Windows Server 2008 R2没有磁盘清理工具 ...

  6. SQL Server 2008空间数据应用系列九:使用空间工具(Spatial Tools)导入ESRI格式地图数据

    转自:http://www.cnblogs.com/beniao/archive/2011/03/22/1989310.html 友情提示,您阅读本篇博文的先决条件如下: 1.本文示例基于Micros ...

  7. CVE-2014-6271 Bash漏洞利用工具

    CVE-2014-6271 Bash漏洞利用工具 Exploit 1 (CVE-2014-6271) env x='() { :;}; echo vulnerable' bash -c "e ...

  8. 7. Vulnerability exploitation tools (漏洞利用工具 11个)

    Metasploit于2004年发布时,将风暴带入了安全世界.它是开发,测试和使用漏洞利用代码的高级开源平台. 可以将有效载荷,编码器,无操作生成器和漏洞利用的可扩展模型集成在一起,使得Metaspl ...

  9. weblogic CVE-2018-2628漏洞利用工具

    weblogic CVE-2018-2628漏洞利用 漏洞环境: Windows2018R2 weblogic10.3.6 漏洞利用过程: 搭建好存在CVE-2018-2628漏洞的weblogic平 ...

随机推荐

  1. Android接入支付宝和微信支付

    然后把下载下来的aar包,放到项目目录下面的libs目录下,通过下面的gradle依赖进来 // 支付宝 SDK AAR 包所需的配置compile(name: 'alipaySdk-15.6.0-2 ...

  2. Unity Shader-热空气扭曲效果

    GrabPass GrabPass是Unity为我们提供的一个很方便的功能,可以直接将当前屏幕内容渲染到一张贴图上,我们可以直接在shader中使用这张贴图而不用自己去实现渲染到贴图这样的一个过程,大 ...

  3. C3P0连接池工具类实现步骤及方法

    C3P0连接池的工具类 使用C3P0获得连接对象连接池有一个规范接口 javax.sal.DataSourse 接口定义了一个从连接池中获得连接的方法getConnection(); 步骤导入jar包 ...

  4. 使用阿里云RDS

    1)购买 注意内网免费 外网收费 内网需要跟服务器ECS在同一VPC下 即ECS买在华东1 RDS也必须在华东1 2)使用 配置白名单  全部通过设置为0.0.0.0/0 (不建议) 创建账户 创建数 ...

  5. 去BAT,你应该要看一看的面试经验总结

    我去年12月份从上一家公司离职,一直到今年3月份,基本上都在面试中度过来的. 先交代下背景:坐标上海,做技术开发,我本人面试的职位是linux服务器开发,最倾向的职位是服务器开发主程或技术经理.我本人 ...

  6. LinkedList集合(JDK1.8)

    简述 按照上篇笔记ArrayList集合继续进行介绍list的另一个常见子类LinkedList ?LinkedList介绍 1.数据结构 说明:linkedlist的底层数据结构是个双向链表结构,也 ...

  7. 7 SQL 集合运算

    7 集合运算 7-1 表的加减法 本章将会和大家一起学习“集合运算”操作.在数学领域,“集合”表示“(各种各样的)事物的总和”:在数据库领域,表示“记录的集合”.具体来说,表.视图和查询的执行结果都是 ...

  8. POJ 1463 Strategic game(树形DP入门)

    题意: 给定一棵树, 问最少要占据多少个点才能守护所有边 分析: 树形DP枚举每个点放与不放 树形DP: #include<cstdio> #include<iostream> ...

  9. Sql按照字段分组,选取其他字段最值所在的行记录

    引言: 为什么会引入这个问题,在程序中遇到这样的问题,在某个数据表中,相同的AID(项目ID)被多次添加到数据表中,所以对应于不同的时间,只想选取添加时间最早的哪一条记录. 参考:红黑联盟 所用到的数 ...

  10. CentOS 7中设置PHP7的Log文件日志

    对于服务器上面运行的php代码, 想要去查看对应的log,找到代码无法运行的原因 1.通过:phpinfo()去找 error_log 结果得到: 2.然后去编辑php.ini,修改三处地方 vi / ...