下载工具包安装图片中框出来的三个依赖(ps:如果你已经有jdk1.8 x64版本的话,就不需要从我这里安装了)
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
场景:通过互联网入口,进入内网后,使用frp或其他工具开出了一个可访问内网资源的socks5代理(为什么是socks5代理呢,因为作者本人使用的socks5,http代理能否成功作者没有测试过。)
使用proxifier将windows目录下的以下文件添加进代理规则列表中,代理选择我们需要攻击的内网代理并启用规则。
specials/Eternalblue-2.2.0.exe
Payloads/Doublepulsar-1.3.1.exe
Touches/Smbtouch-1.1.1.exe
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
Cmd进入windows目录,输入fb.py(如果你的机器存在多个Python环境,需要给出完整Python路径,工具包给出的2.6.6完整路径为C:Python26Python.exe fb.py)
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
然后输入use smbtouch后输入execute对目标进行连通性检测
Ps:use 完后也可以通过set命令对参数进行修改例如tagetIP等
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
输入use eteralblue进行漏洞利用,注意以下三个选项
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
正常会返回后门安装成功以及系统的版本信息(32bit或者64bit),这个信息要记下来后面用danderspritz生成注入的DLL会用到。
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
PS:一般如果卡在recieved response或者CORE ERROR可能就是没法利用,这个时候建议ctrl+c停止,然后set targetIP换下一个,不要浪费时间.
Setp3.Danderspritz启动以及代理配置
使用1.8版本的java打开windows目录下的Start.jar程序
打开后设置对应的目录,其中Log Directory要改成我们第二步启动fb.py时候生成的项目目录,比如我第二步中项目是在D:logshttpclient
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
设置完成并正确后点击Go,在一列代码跑完后会进入界面
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
进入界面后在proxfier中添加规则,将windows目录下的以下文件加入到代理规则(单独创建规则)
Bini386-winnt-vc9releaseDszLp.exe
Bini386-winnt-vc9releaseDszLpCore.exe
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
要注意,这个规则创建好后,之后再重新启动danderspritz平台时,要先关闭这个规则,等平台启动成功后再开启,否则会导致平台无法启动
Step4.使用平台生成DLL(平台可以使用tab补全命令)
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
这里我们主要使用Level4 Sharedlib标签的payload,因为我们前面利用漏洞看到是64位,所以输入19
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
按照以上步骤生成后缀为configured的dll注入程序,并复制文件完整路径地址。
在第二步中的终端中输入use DoublePulsar,然后按照以下配置,没有标记的就是直接回车
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
0:用于Eternalchamion和eternalromance漏洞使用的shellcode,不需要关注
1. 确认后门安装情况,如果存在后门会返回系统信息,如图
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
这里我们要注入danderspritz生成的dll,选择3
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
配置完成后回车就会注入dll到目标的lsass.exe进程当中,如图
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
配置完这些后点击Connect To target,如果失败的就重新注入再连接,或者多连接几次。
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
查看进程信息,右键进程可对进程进行相关操作,如果进程为杀软会有感叹号标记
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
右键工具栏添加shell插件,按照下图配置后点击Start Shell打开一个shell
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
右键添加Target Detail插件,可以查看目标网络情况,截图,以及文件传输情况
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
![代理内网情况下MS17-010的稳定利用]( "代理内网情况下MS17-010的稳定利用")
原文始发于微信公众号(Xsafe):代理内网情况下MS17-010的稳定利用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2279071.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论