NSA tools

標籤： injection security python shadowbroker tool

---

介紹

去年八月，ShadowBroker 發佈了一套從NSA那偷來的工具，一個GitHub庫對此fork了一份： 工具庫

在這份文檔中，我們將重點轉移到ETERNALBLUE上（針對win和插件DOUBLEPULSAR）。爲了使這波操作離開要命的敲代碼。我們會使用FUZZBUUNCH， 這可是NSA他孃的意大利炮。

爲啥選Eternalblue 和 DoublePulsar

在暗影衆多的 win爆 工具中， Eternalblue 是 唯一一個可以用來攻擊win7 和 win server 2008 而 不需要權限 的。 除此之外，我們可以用插件 DOUBLEPLUSAR 來注入到目標遠程端一個惡意的DLL。 記住了小夥雞， 我們可以注入任何我們想要的 DLL; 我們將用 Empire 創建一個惡意的DLL 來 獲取一個 反向連接（從目標雞到攻擊雞）

安裝部分

我們需要三臺機器在同一個當地網絡（LAN, local area network）
1. 目標雞（Win 7/2008）
一隻雞配備了 win7/2008 可以用來當目標雞。然後這隻雞我們只要知道它的IP就行了。
2. 攻擊公雞
這隻雞要配備上我們的子彈， 首先它得是 winxp， 然後就是 py2.6， 然後就是你在win雞上安裝 pyWin32 v2.12 這個玩意才跑得動。
3. 攻擊母雞
最後了，我們只需要在找個linux雞岸上Empire 和 Metasploit 工具。
Empire
Metasploit
當然，如果你沒有神奇的海螺，爲啥不kali kali呢？

這次計劃，我們配備了這樣的雞
- win7 - 192.168.1.109 -> 目標雞
- winxp - 192.168.1.108 -> 有FUZZBUNCH的攻擊公雞
- LInux （Debian jessie ）- 192.68.1.105 -> 有Empire和 metasploit的攻擊母雞

安裝 FuzzBunch

Python 2.6(環境變量)
PyWin32 v2.12
Notepad++ (notepad++)

上面這三個下載下來，一頓next，Accept幹下來就老實了。

1. 現在打開那個暗影那個工具包， 找到 win下 那個fb.py
   想直接跑不存在的，你這找到fb的72行， 註釋了他， 因爲你電腦裏沒這個字典

2. 然後還得改一個Fuzzbunch.xml 的文件（也是這個目錄）
   然後把19， 24 行的目錄代碼改成你電腦裏有的倆，或者自己照着創建也行（那你還真可愛）
   

3. 好了弟兄們， 操練起來， 找個cmd 把這個fb跑起來吧
   

   • 先把目標雞的ip輸進去
   • 再把自己的ip輸進去（攻擊公雞）
   • 給你這個計劃起個雞**名吧

用EternalBlue 發功， 攻擊目標雞

和metasploit差不多， 先 use 一下
然後剩下的都按默認來—–除了！mode要設置爲1

運氣好的話，這枚意大利炮就打過去了

用Empire 做一個 惡意的 DLL

我們創建一個DLL用來進行遠程注入到剛纔那隻被EternalBlue感染了的雞，那麼怎麼創建呢？ 找一個安了Empire的linux
1. 開一個監聽端口， 這樣能收反向連接

2. 創建這個DLL，把他放在公雞上，這樣FUZZBUNCH就可以妙用它

通過DoublePulsar進行注入DLL

回到 XP公雞， 我們這次在FUZZBUNCH 上 use DoublePulsar，除了下面的這些參數，其他的按默認來

現在進入到重要環節了，把那個dll的路徑輸上

最後，我們run一下這個 DOUBLEPULSAR

如果這隻公雞夠騷， 那麼。。。嘿嘿嘿 Doublepulsar Succeded！

得到 Empire Session

上一步成功後， 我們的母雞也會得到一個反向連接

以上就是全部內容，Complete！

合到 Meterpreter上

事實上上面的步驟可以簡化， 這就需要 meterpreter了
1. 開一個端口監聽，payload:windows/meterpreter/reverse_https
2. 在 Empire 中， 運行 這個 code_execution 模塊來注入meterpreter模塊的代碼
3. 獲取 meterpreter session

最後，大佬說的話

Finally, we’ve obtained a Meterpreter shell on a Windows 7 SP1 x64 without needing for user
interaction, just with knowing its IP.
This reminded me of the ease with which access to a Windows XP is obtained through ms08_067.
A curious detail is that, according to the timestamp of ETERNALBLUE, the NSA had this since 2011…

還有大佬們：
For helping me to write this paper:
Cristian Borghello (@crisborghe / @seguinfo).
For being by my side whenever I need it:
Claudio Caracciolo (@holesec).
Luciano Martins (@clucianomartins).
Ezequiel Sallis (@simubucks).
Mateo Martinez (@MateoMartinezOK).
Sol (@0zz4n5).
@DragonJar || @ekoparty || “Las Pibas de Infosec”

---

Sheila A. Berta - @UnaPibaGeek.