NSA Fuzzbunch中EternalRomance工具复现过程

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:     自Shadow Brokers公布NSA泄露工具后,各路大神陆陆续续发表复现过程,这几天也仔细试了各种套路,一直想弄明白DoublePulsar中的shellcode到底是如何用的,刚好又在模拟环境中偶遇Windows Server 2003,EternalRomance貌似只能用shellcode方式植入利用,于是各种试错以后有了这篇文章。

  

  自Shadow Brokers公布NSA泄露工具后,各路大神陆陆续续发表复现过程,这几天也仔细试了各种套路,一直想弄明白DoublePulsar中的shellcode到底是如何用的,刚好又在模拟环境中偶遇Windows Server 2003,EternalRomance貌似只能用shellcode方式植入利用,于是各种试错以后有了这篇文章。

  有何不妥处请各路大神指教!

  前期准备

  

  友情提示

  Dander Spiritz使用中的一个坑。

  如果想用Dander Spiritz生成回连dll,并控制会话,记得将日志文件夹指向你已经创建的工程文件夹(以test为例),日志文件夹最好放置在磁盘根目录下,否则容易报错。

  错误示例:日志文件夹存放在工具目录中,并指向test工程文件夹:C:NSAlogstest

  

  错误示例:运行Dander Spiritz报错,红框中为错误信息

  

  正确姿势:日志文件夹存放在磁盘根目录中,并指向test工程文件夹:C:logstest

  Smbtouch判断可用漏洞

  命令:use Smbtouch

  命令:execute

  

  执行后回显可用漏洞工具ETERNALROMANCE,ETERNALCHAMPION

  

  Doublepulsar生成可用shellcode

  看到此处客官一定觉得哪里不对了,依照之前的惯例不是该立马上EternalRomance对靶机啪啪啪了吗?

  笔者先开始试错的时候也是这么做的,结果运行到一半,提示需要载入shellcode,于是吭呲吭呲的去kali2用msfvenom生成了个shellcode,结果直接把靶机整蓝屏了,这才注意到载入shellcode的时候提示“DOPU (ensure correct architecture) ONLY! Other shellcode will likely BSOD.”,必须使用DOPU的shellcode,不然BSOD蓝屏等着你。好吧,DOPU是个什么鬼?是不是很像Do(uble)pu(lsar)!答对了,就是这个鬼。

  接上一步直接载入Doublepulsar,命令:use Doublepulsar

  

  由于Smbtouch后自动载入了相关参数,一路回车到此处,又是熟悉的地方,注意选择 *0) OutputInstall,此项功能可生成shellcode

  

  生成文件保存在任意可写入的位置,注意是你目前权限可写入的位置,文件名为shellcode.bin(可命名为任意文件)

  

  Doublepulsar成功执行并生成shellcode文件

  

  EternalRomance

  EternalRomance植入Doublepulsar后门,发飙的时候到了

  命令:use Eternalromance

  

  一路默认,Pipe[] 和Share[] 为可选项,直接回车跳过,Credentials选Anonymous

  

  一路回车来到shellcode载入的位置,就是前文所述蓝屏提示处,输入先前生成的地址,windows环境下反斜杠请写两次

  

  狂摁回车,成功执行

  

  然后呢?什么都没发生?其实已经成功的植入Doublepulsar后门了,可以利用Doublepulsar干坏坏的事了

  传统姿势

  传统姿势,生成dll后门,Doublepulsar注入,回连木马。

  生成回连payload—>test.dll,拷贝到攻击机C:NSAtmptest.dll,并在msfconsole中开启监听

  

  Doublepulsar注入利用,利用方式与之前公开的方法一致,命令:use Doublepulsar,一路默认,注意在Function处选择 2) RunDLL,一直狂摁回车到结束即可成功利用

  

  kali2中即可收到回连信息!

  

  小结

  说到底,Doublepulsar就是个后门,可安装也可卸载(Function中有卸载模块,NSA也贴心提供了检测脚本),安装后可加载dll与shellcode,漏洞利用之前先生成好方便后续操作。

  fb.py不愧是拿firstblood的利器,整个工具与metasploit的搭建方式极其相似,模块化程度很高!Dander Spritz作为远控工具,做的十分细致,信息搜集能力很强,NSA指哪儿打哪儿能力可见一般!

  * 本文作者:feshi7007,转载请注明来自FreeBuf.COM

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
3月前
|
SQL 安全 网络协议
黑盒渗透测试:揭开未知的安全隐患
【8月更文挑战第31天】
120 0
|
JSON NoSQL 安全
漏洞赏金猎人笔记-使用自动化工具搭建攻击面监控平台的一般性思路
前言 本文是一篇笔记,原文作者是@pry0cc(已经50多岁了),本文内容主要是对原文相关内容做的笔记,出于易读性考虑,对部分字句有所删改。
415 0
漏洞赏金猎人笔记-使用自动化工具搭建攻击面监控平台的一般性思路
|
运维 安全 测试技术
网站漏洞分析攻防过程
漏洞分析和渗透测试是网站安全攻击和防御演习攻击者的常用方法。通过收集目标系统的信息和综合分析,使用适当的攻击工具对目标系统的安全漏洞进行相关分析,验证漏洞的使用方法和难度,并通过各种攻击方法找到潜在漏洞的攻击路径。基于制定的攻击方案,利用漏洞和攻击进行实际作战演习,尝试各种技术手段访问或操作系统、数据库和中间文件,绕过系统安全保护,全面渗透目标系统。通过渗透等方式获得相关关系。
220 3
网站漏洞分析攻防过程
|
数据采集 安全 测试技术
入门兵器谱,测试相关软件系列——AppScan漏洞检测软件
 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
572 0
入门兵器谱,测试相关软件系列——AppScan漏洞检测软件
|
SQL 开发框架 缓存
内网渗透之域环境渗透测试过程
申明:此次渗透环境为实验环境,仅供渗透实验参考
231 0
内网渗透之域环境渗透测试过程
|
SQL 安全 测试技术
网站漏洞渗透检测过程与修复方案
网站的渗透测试简单来 说就是模拟攻击者的手法以及攻击手段去测试网站的漏洞,对网站进行渗透攻击测试,对网站的代码漏洞进行挖掘,上传脚本文件获取网站的控 制权,并对测试出来的漏洞以及整体的网站检测出具详细的渗透测试安全报告。
269 0
网站漏洞渗透检测过程与修复方案
|
SQL 自然语言处理 安全
网站渗透测试的3大步骤 多个层面安全测试介绍
渗透测试这些是经常谈到的问题了,我觉得当有了渗透接口测试之后你就会发现渗透测试这一方面也就是:1.基本漏洞测试;2.携带"低调"构思的心血来潮;3.锲而不舍的信念。我们SINE安全在对客户网站,APP进行渗透测试的过程中会发现客户存在的很漏洞,具体渗透测试的过程这里分享一下:
332 0
网站渗透测试的3大步骤 多个层面安全测试介绍
|
XML SQL 安全
常见高危Web漏洞原理及检测技术分析与研究
随着计算机技术以及信息网络通信技术的高速发展,人们也逐渐意识到信息安全的重要性,网络安全问题成为社会、国家的关注焦点。本文对Web漏洞的类型与原理、Web漏洞扫描技术的原理与应用进行了研究,分析了计算机网络中安全漏洞检测技术的应用策略。
|
安全 Windows 数据库
带你读《从实践中学习Metasploit 5渗透测试》之二:获取漏洞信息
本书基于Metasploit的5.0版,首先系统地讲解了各个平台下的环境构建方式;然后按照渗透测试流程,依次讲解了Metasploit在漏洞获取、项目准备和实施攻击环节的使用方式。 接着借鉴了专业渗透测试规范,专门介绍了如何使用Metasploit的工作区进行渗透测试项目的管理和信息维护;最后基于Windows、Linux和Android系统讲解典型模块的应用方式。
|
安全 关系型数据库 测试技术