用户
搜索

该用户从未签到

超级版主

joke

Rank: 8Rank: 8

43

主题

333

帖子

396

魔法币
收听
0
粉丝
11
注册时间
2017-3-11

春秋文阁i春秋签约作者春秋游侠秦楚燕魏齐赵白帽传说

发表于 2017-4-15 11:01:54 1231171137
微软又爆新洞,一大早就在知乎看到文章,转发过来给坛友们看看
原帖地址:https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0

密码:
yr5m
一大早起床是不是觉得阳光明媚岁月静好?然而网络空间刚刚诞生了一波核弹级爆炸!Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。

目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

故事还要从一年前说起,2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。

北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。
v2-d98b6f04e6428699c1bfe0db0b770345_r.png
这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):
  • EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具
  • ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
  • 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
  • ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。
  • FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
  • ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
  • ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。
  • ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

不放不要紧,放出来吓坏了一众小伙伴。这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。
掏出 Exp 试了一波,果然是一打一个准,这些工具的截图如下:
v2-5baedd936e2625ea9854d7bb219371d4_r.png
v2-25710eb666b186dc2768a85bb6f89c8a_b.png
v2-547e6d11f171d73dc8f0e4c7cd76a8a0_r.png
v2-ec2f3f8db9b9f050a1ab93866e7c63c4_r.png
除 Windows 以外,“Shadow Brokers” 泄露的数据还显示方程式攻击了中东一些使用了 Swift 银行结算系统的银行。
v2-587295421876ab23a278471652145111_r.png
所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。

剩下的就是请稳定好情绪,坐等微软出补丁。


参考
来啊~快活啊~
发表于 2017-4-15 17:20:32
本帖最后由 野驴 于 2017-4-15 11:32 编辑

复现成功,果然这老美不是吃素的,我们有代差啊。工具都有清晰的框架。
The quieter you become the more you are able to hear
使用道具 举报 回复
                                                                                                                                                                                                                                                                                 
使用道具 举报 回复
            
            
        


                                                                                   多事之秋
no pain no gain
使用道具 举报 回复
                                                                                                        
使用道具 举报 回复
                                                         
使用道具 举报 回复
学习了                                             
使用道具 举报 回复
支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波支持一波
使用道具 举报 回复
发表于 2017-4-15 11:55:07
大安慰大
xss  交流群602221356  接收XSS爱好者
使用道具 举报 回复
发表于 2017-4-15 11:55:35
怎么用啊
xss  交流群602221356  接收XSS爱好者
使用道具 举报 回复
发表于 2017-4-15 12:00:32
哇擦,,春秋速度够快啊
你懂得越多,懂你的人越少!
使用道具 举报 回复
发表于 2017-4-15 12:00:58
谢谢分享,github太慢了
使用道具 举报 回复
发表于 2017-4-15 12:01:05
6666666666666666666666666666
使用道具 举报 回复
发表于 2017-4-15 12:01:06
出使用教程啊
使用道具 举报 回复
发表于 2017-4-15 12:01:32
吃惊,研究下
使用道具 举报 回复
发表于 2017-4-15 12:01:35
屌爆了  大佬们
做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
使用道具 举报 回复
11111111111111
使用道具 举报 回复
厉害了,不少网站又得被**
使用道具 举报 回复
发表于 2017-4-15 12:02:43
马克mark。
使用道具 举报 回复
最新的?
使用道具 举报 回复
喧嚣如梦 来自手机 i春秋-核心白帽 行动比空谈更具有说服力! 核心白帽 积极活跃奖
13#
发表于 2017-4-15 12:03:34
核弹级爆炸
使用道具 举报 回复
发表于 2017-4-15 12:03:36
我就是来看看的
使用道具 举报 回复
您需要登录后才可以回帖 登录 | 立即注册