ShadowBroker公布的NSA工具使用方法

作者: RedFree 分类: CobaltStrike, Metasploit, Windows 发布时间: 2017-04-19 10:24 ė6,494 次访问 6没有评论

工具包下载地址:

https://github.com/x0rz/EQGRP_Lost_in_Translation
https://github.com/misterch0c/shadowbroker

  •  windows文件夹,包含windows 利用工具,植入和payload;

  •  swift文件夹,包含攻击银行的操作系统;

  •  OddJob文件夹,有关于OddJob后门的文档

Exploit位于解压后的windows目录,安装python2.6 32位及pywin32,注释掉fb.py中的以下几行:

#LP_DIR      = os.path.join(FB_DIR, "listeningposts")
#EDE_DIR     = os.path.join(FB_DIR, "ede-exploits")
#TRIGGER_DIR = os.path.join(FB_DIR, "triggers")
#addplugins(fb, "ListeningPost", LP_DIR,      EDFPlugin)

执行fb.py,设置基本的信息以及选择一个项目,使用use命令展现可用模块:

//touch插件为漏洞检测插件,只检测目标是否可能存在指定漏洞,不进行利用。
Plugin Category: Smbtouch
=========================

  Name                     Version
  ----                     -------
  Architouch               1.0.0
  Domaintouch              1.1.1
  Eclipsedwingtouch        1.0.4
  Educatedscholartouch     1.0.0
  Emeraldthreadtouch       1.0.0
  Erraticgophertouch       1.0.1
  Esteemaudittouch         2.1.0
  Explodingcantouch        1.2.1
  Iistouch                 1.2.2
  Namedpipetouch           2.0.0
  Printjobdelete           1.0.0
  Printjoblist             1.0.0
  Rpctouch                 2.1.0
  Smbtouch                 1.1.1
  Webadmintouch            1.0.1
  Worldclienttouch         1.0.1

//后门植入插件
Plugin Category: ImplantConfig
==============================

  Name           Version
  ----           -------
  Darkpulsar     1.1.0
  Mofconfig      1.0.0

//漏洞利用插件,在使用touch插件检测到指定漏洞后可以使用下面对应的利用插件进行漏洞利用。
Plugin Category: Exploit
========================

  Name                   Version
  ----                   -------
  Easybee                1.0.1
  Easypi                 3.1.0
  Eclipsedwing           1.5.2
  Educatedscholar        1.0.0
  Emeraldthread          3.0.0
  Emphasismine           3.4.0
  Englishmansdentist     1.2.0
  Erraticgopher          1.0.1
  Eskimoroll             1.1.1
  Esteemaudit            2.1.0
  Eternalromance         1.4.0
  Eternalsynergy         1.0.1
  Ewokfrenzy             2.0.0
  Explodingcan           2.0.2
  Zippybeer              1.0.2

//载荷,其中Doublepulsar是一个特殊的载荷,类似meterpreter,其它载荷则类似于pstools工具集。
Plugin Category: Payload
========================

  Name              Version
  ----              -------
  Doublepulsar      1.3.1
  Jobadd            1.1.1
  Jobdelete         1.1.1
  Joblist           1.1.1
  Pcdlllauncher     2.3.1
  Processlist       1.1.1
  Regdelete         1.1.1
  Regenum           1.1.1
  Regread           1.1.1
  Regwrite          1.1.1
  Rpcproxy          1.0.1
  Smbdelete         1.1.1
  Smblist           1.1.1
  Smbread           1.1.1
  Smbwrite          1.1.1

//smb漏洞利用插件
Plugin Category: Eternalchampion
================================

  Name                Version
  ----                -------
  Eternalblue         2.2.0
  Eternalchampion     2.0.0

Exploits

EARLYSHOVEL RedHat 7.0 - 7.1 Sendmail 8.11.x exploit
EBBISLAND (EBBSHAVE) root RCE via RPC XDR overflow in Solaris 6, 7, 8, 9 & 10 (possibly newer) both SPARC and x86.
ECHOWRECKER remote Samba 3.0.x Linux exploit.
EASYBEE appears to be an MDaemon email server vulnerability
EASYPI is an IBM Lotus Notes exploit that gets detected as Stuxnet
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 & 7.0.2
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges (MS17-010)
EDUCATEDSCHOLAR is a SMB exploit (MS09-050)
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003 (MS10-061)
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino 6.6.4 to 8.5.2
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users
EPICHERO 0-day exploit (RCE) for Avaya Call Server
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003
ETERNALSYNERGY is a SMBv3 remote code execution flaw for Windows 8 and Server 2012 SP0 (MS17-010)
ETERNALBLUE is a SMBv2 exploit for Windows 7 SP1 (MS17-010)
ETERNALCHAMPION is a SMBv1 exploit
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later (MS08-067)
ETRE is an exploit for IMail 8.10 to 8.22
FUZZBUNCH is an exploit framework, similar to MetaSploit
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later, also not detected by any AV vendors

Utilities:

PASSFREELY utility which "Bypasses authentication for Oracle servers"
SMBTOUCH check if the target is vulnerable to samba exploits like ETERNALSYNERGY, ETERNALBLUE, ETERNALROMANCE
ERRATICGOPHERTOUCH Check if the target is running some RPC
IISTOUCH check if the running IIS version is vulnerable
RPCOUTCH get info about windows via RPC
DOPU used to connect to machines exploited by ETERNALCHAMPIONS

1.png 1.png

对工具包需要说明的是DOPU shellcode是指Doublepulsar导出的shellcode,DoublepulsarEternalblue插件执行时是自动安装的,在其它插件执行时可能不是自动安装的,因此在其它漏洞利用插件执行选择shellcode文件时,要选择Doublepulsar导出的shellcode。使用metasploit导出的shellcode会导致BSOD(蓝屏)!在Doublepulsar后门被安装后,可以使用其执行dll文件的功能来进行上线。导出Doublepulsar shellcode的图如下:

1.png

实战示例

1、导出Doublepulsar载荷的shellcode:

OutShellcode.gif

shellcode文件下载:

shellcode.txt

2、使用Eternalromance攻击靶机Windows 2003 SP2(gif文件太大,请转到百度云):

https://pan.baidu.com/s/1qYyfQJa

3、使用Eternalblue攻击靶机Windows 7.

首次利用:https://pan.baidu.com/s/1geNk0AB

已溢出过:https://pan.baidu.com/s/1c2CH3KO

使用dll上线:https://pan.baidu.com/s/1i4ZXAx3

上线效果图:

4.png

4、使用dll文件来实现上线(因操作系统的不同,使用msf生成的dll在2003上可能无效,因些自己用vc++6.0写一个执行命令上线的dll):

2.png

gif过程图:https://pan.baidu.com/s/1o7J83e6

3.png

其它漏洞利用插件的使用方法也基本相同,先在溢出时指定shellcode为Doublepulsar导出的shellcode,待后门安装完成后使用dll完成上线。

若要求参数为ShellcodeBuffer,则直接粘贴Doublepulsar导出的shellcode转换的16进制形式(\x88\x77…)。

下载:buffer.txt

5.png

3389溢出利用参见:http://www.freebuf.com/articles/system/132171.html

本文出自 RedFree's Blog,转载时请注明出处及相应链接。

本文永久链接: http://py4.me/blog/?p=519

发表评论

电子邮件地址不会被公开。

Ɣ回顶部