发布于2022年11月8日3年前 0x00 前言 最近,国家安全局渗透工具被曝光,其中包含多个Windows操作系统操作系统远程漏洞利用工具,影响很大 本文不会具体介绍这些远程漏洞工具的使用方法,而是站在防御者的角度,介绍如何利用这些工具,更好的去保护自己的内网 0x01 简介 本文将要介绍以下内容: 模糊群使用流程 Smbtouch功能介绍 编写大蟒脚本实现批量检测内网是否存在可被服务器信息块和NBT协议攻击的漏洞 根据日志掌握内网主机信息 检测的服务器信息块和NBT远程提权漏漏洞列表如下: 永恒的蓝色 永远的冠军 永恒的浪漫 永恒的协同作用 注: 个人认为,以上四个漏洞危害最大,尤其适用于内网工作组环境 0x02 FuzzBunch 模糊群框架,类似于metasploit,包含探测、攻击、利用等各种功能(仅根据目前泄露的资料) 下载地址: https://github.com/fuzzbunch/fuzzbunch 注: 模糊群提取自https://github.com/x0rz/EQGRP_Lost_in_Translation 1. 配置环境 安装python2.6,参考下载地址: http://dl.nexiao.com/file.html?URL=http://B9。gpxz。net/2014 02/python-2 _ gpxz。6 _ gpxz。6 _ gpxz。rar 安装pywin32,参考下载地址: https://sourceforge.net/projects/pywin32/files/pywin32/Build 221/py win32-221。win32-py 2.6。exe/下载 2. 添加环境变量 c:\python26 3. 执行fb.py进入命令行操作模式 报错 原因: 泄露的资料里缺少收听帖子文件夹 解决办法: 在shadowbroker-master\windows\下创建个收听帖子文件夹 或者修改fb.py,修改好的文件可在如下链接下载: https://raw.githubusercontent.com/3gstudent/test/master/fb.py 再次执行fb.py,成功 如图 注: 执行start_lp.py可进入界面操作模式,如下图,此处不再过多介绍 4. 设置启动参数如下: [?]默认目标互联网协议(Internet Protocol)地址[]: [?]默认回拨互联网协议(Internet Protocol)地址[]: [?]使用重定向[是]: [?]基本日志目录[D:\logs]: 进入消防队(火之歌)的壳后输入使用,可获得支持的插件目录: 插件类别:触摸 ====================== 名称版本 - - Architouch 1.0.0 Domaintouch 1.1.1 Eclipsedwingtouch 1.0.4 educatedscholertouch 1。0 .0 翡翠线程触摸1.0.0 Erraticgophertouch 1.0.1 Esteemaudittouch 爆炸章节1.2.1 Iistouch 1.2.2 Namedpipetouch 2.0.0 打印作业删除1.0.0 Printjoblist 1.0.0 Rpctouch 2.1.0 服务器信息块触摸1.1.1 Webadmintouch 1.0.1 世界客户端触摸1.0.1 插件类别:植入配置 ============================== 名称版本 - - 黑暗脉冲星1.1.0 Mofconfig 1.0.0 插件类别:漏洞 ======================== 名称版本 - - Easybee 1.0.1 Easypi 3.1.0 日蚀翼1。5 .2 教育学者1.0.0 翡翠线3.0.0 强调地雷3.4.0 英国牙医 勘误表1.0.1 爱斯基摩罗1.1.1 埃斯特审计2。1 .0 永恒浪漫1.4.0 永恒协同1.0.1 伊沃克人狂潮2.0.0 爆炸罐2.0.2 Zippybeer 插件类别:有效负载 ======================== 名称版本 - - 双脉冲星1.3.1 作业添加1.1.1 作业删除1.1.1 工作列表1.1.1 Pcdlllauncher 2.3.1 流程列表1.1.1 注册表删除1.1.1 Regenum 1.1.1 重新阅读1.1.1 注册表写入1.1.1 Rpcproxy 1.0.1 服务器信息块删除1.1.1 Smblist 1.1.1 面包1.1.1 Smbwrite 1.1.1 插件类别:特殊 ======================== 名称版本 - - 永恒之蓝2.2.0 永恒冠军2.0.0 插件分为五类,即: 触摸信息检测和漏洞测试 植入配置植入工具 剥削剥削 有效载荷 特别独家 每个插件对应于文件夹下的三个文件:可执行程序的扩展名。消防队(firebrigade)。可扩展标记语言 如:Special下的Eternalblue-2.2.0,对应影子经纪人-master \ windows \ specials。 Eternalblue-2.2.0.exe 永恒之蓝-2.2.0.fb 永恒之蓝-2.2.0.0.xml 查看文件的内容,您会发现: Exe可以独立执行(前提是找到了所需的dll文件) Exe来读取保存在xml文件中的配置参数(需要进行二次修改) 也就是说,只需要单独的exe和xml配置文件,加上需要的支持文件,就可以执行相应的插件,而不需要完全安装FuzzBunch框架。 0x03 Smbtouch 在Touch类下,文件位于/windows/touches/,用于检测目标主机是否包含SMB和NBT远程权限泄露漏洞,主要测试以下四个漏洞: 永恒的蓝色 永远的冠军 永恒的浪漫 永恒的协同作用 1.命令行下测试 执行fb.py进入命令行运行模式。 设置扫描参数并依次执行: 使用Smbtouch 执行 如下图 然后执行插件,回显下图 检测成功,并获得以下信息: 系统:Windows Server 2003 3790 Service Pack 2 x86 可用漏洞: 永恒的浪漫 永恒冠军-丹麦/FB 然后利用特定的漏洞攻击。 注: 被攻击的主机需要打开445端口,测试环境可以选择关闭防火墙或者手动打开445端口。 在命令行上打开端口445的代码如下: netsh advfirewall防火墙添加规则名称='445 '协议=TCP目录=在本地端口=445操作=允许 2.直接执行exe 进入shadow broker-master \ windows \ touches文件夹,直接执行Smbtouch-1.1.1.exe。 提示dll丢失,如图所示 在Shadow Broker-Master \ Windows \ Lib \ x86-Windows文件夹中找到丢失的dll并完成它。 Smbtouch-1.1.1.exe直接执行,回音提示: 必须为TargetIp分配一个值。 所以接下来需要编辑Smbtouch-1.1.1.0.xml文件。 需要添加以下参数: 网络超时:60 目标Ip:127.0.0.1 目标港口:445 协议:SMB 凭据:匿名 比较xml文件格式,添加代码数据,并将其重命名为Smbtouch-1.1.1.xml 注: 文件名不是原始的Smbtouch-1.1.1.0.xml 修改后的xml文件可以引用: https://github . com/3g student/SMB touch-Scanner/blob/master/SMB touch-1 . 1 . 1 . XML 再次处决Smbtouch-1.1.1.exe。 回声图 成功执行,并回显xml文件的内容。 0x04 Smbtouch Scanner 基于以上,如果要尝试扫描指定的网段,需要反复修改xml配置文件,然后执行Smbtouch-1.1.1.exe检测。 要用python自动实现上述操作,需要考虑以下问题: 处决Smbtouch-1.1.1.exe,带上艾可。 分析回声内容,去除多余部分。 范围ip地址的解析 自动读写xml文件 生成日志文件 提高多线程效率 完整的代码可以参考: https://github.com/3gstudent/Smbtouch-Scanner 实际测试: 1.设置扫描ip段 画 2.执行SmbtouchScanner.py 等待扫描完成,然后回显以显示简要信息。 画 3.同级目录生成日志文件,显示详细信息 包含特定的漏洞,如图所示 4.补充 出于安全原因,这个开源代码不支持多线程。 0x05 防御建议 针对NSA的SMB和NBT远程授权的漏洞,建议升级系统补丁,打开防火墙,限制445端口。 限制端口445的命令行代码如下: netsh advfirewall防火墙添加规则名称='445 '协议=TCP目录=在本地端口=445操作=阻止 同时,为了保证内网的安全性,可以使用SmbtouchScanner.py对内网进行扫描和检测。 注: Smbtouch-1.1.1.exe已经被杀毒软件杀死了。 0x06 小结 介绍了如何使用python自动检测内网中是否存在可以被SMB和NBT协议攻击的漏洞。当然不止以上四个漏洞,触控插件也不止Smbtouch。 后续更新将同步到GitHub:https://github.com/3gstudent/ 留下回复
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
创建帐户或登录后发表意见