用户
搜索
  • TA的每日心情

    2016-7-17 00:48
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]偶尔看看

    版主

    Rank: 7Rank: 7Rank: 7

    34

    主题

    178

    帖子

    294

    魔法币
    收听
    0
    粉丝
    22
    注册时间
    2016-6-21

    i春秋认证春秋巡逻i春秋签约作者春秋游侠

    发表于 2017-4-16 13:14:06 1230799
    本帖最后由 Sp4ce 于 2017-4-16 05:37 编辑

    本来打算早上写这篇文章的,但是由于公网环境配置失败导致一直无法复现,现在搞定环境后决定再次尝试
    0X01环境介绍
    攻击机:
    Windows Server 2012 R2 Datacenter X64 (阿里云)
    软件:
    python2.6 x86
    pywin32-214
    工具包

    靶机:
    Windows Server 2008 R2 X64 (腾讯云)
    端口开放:135、137、445、3389
    补丁数:14【无法卸载的14个】

    0X02复现过程
    复现过程可以说一路曲折首先Nmap检测了靶机的开放端口来确认是否开启了相应的服务
    3.png

    IP我就不打码了,坏蛋要求的

    接下来配置WINDOWS 2012的环境

    python2.6x86(注意!必须是32位,64位会出现DLL错误如图

    2.png )和pywin32安装后,CMD命令CD到工具包的目录,执行fb.py后出现如图界面表示成功

    5.png

    show exploit可以查看EXP
    4.png


    由于没有检查靶机的补丁数导致一直失败
    1.png

    QQ图片20170415231014.jpg

    然后powershell删除了windows2008靶机的所有可删除的补丁

    将以下代码保存为a.ps1文件,打开cmd分三步输入以下命令
    (1)PowerShell
    (2)Set-ExecutionPolicy RemoteSigned
    (3)路径/a.ps1
    核心思想:windows 的"wusa.exe"和ps1批处理文件

    a.ps1
    1. $KBID = "KB958488"   
    2. $KBID1 = "KB976902"  
    3. cls  
    4. function Remove-Update {  
    5.   
    6. $HotFixes = Get-HotFix  
    7. [int]$count = 0;  
    8. foreach ($HotFix in $HotFixes)   
    9. {  
    10.     $count = $count + 1  
    11.     Write-Host $count / $HotFixes.Count  
    12.     if (($KBID -ne $HotFix.HotfixId) -and ($KBID1 -ne $HotFix.HotfixId))   
    13.     {   
    14.         "Inside first if"   
    15.         $KBID = $HotFix.HotfixId.Replace("KB", "")   
    16.         $RemovalCommand = "wusa.exe /uninstall /kb:$KBID /quiet /norestart"   
    17.         Write-Host "Removing $KBID from the target."   
    18.         Invoke-Expression $RemovalCommand   
    19.          
    20.     }   
    21.       
    22.     if ($KBID -match "All")   
    23.     {   
    24.         $KBNumber = $HotFix.HotfixId.Replace("KB", "")   
    25.         $RemovalCommand = "wusa.exe /uninstall /kb:$KBNumber /quiet /norestart"   
    26.         Write-Host "Removing update $KBNumber from the target."   
    27.         Invoke-Expression $RemovalCommand   
    28.          
    29.     }   
    30.       
    31.     if ($KBID -match "Security")   
    32.     {   
    33.         if ($HotFix.Description -match "Security")   
    34.         {   
    35.          
    36.             $KBSecurity = $HotFix.HotfixId.Replace("KB", "")   
    37.             $RemovalCommand = "wusa.exe /uninstall /kb:$KBSecurity /quiet /norestart"   
    38.             Write-Host "Removing Security Update $KBSecurity from the target."   
    39.             Invoke-Expression $RemovalCommand   
    40.         }   
    41.     }   
    42.      
    43.   
    44.     while (@(Get-Process wusa -ErrorAction SilentlyContinue).Count -ne 0)   
    45.     {   
    46.         Start-Sleep 3   
    47.         Write-Host "Waiting for update removal to finish ..."   
    48.     }   
    49. }  
    50.   
    51. }  
    52.   
    53. Remove-Update  
    复制代码
    执行后会出现
    8.png
    7.png
    卸载完补丁后再次执行ETERNALROMANCE攻击然而。。。
    9.png

    再次失败,继续尝试别的攻击EXP(永恒之蓝)
    10.png


    再次失败。。。
    不得不怀疑这次工具包的问题了。。
    修改靶机网络环境为专用后继续测试。
    打开以下服务:dnscache(简写、fdrespub(简写)、SSDP Discovery、UPnP Device Host、Computer Browser、Server、DNS Client、TCP/IP NetBIOS Helper。

    继续随机挑选攻击脚本【ECLIPSEDWING
    11.png

    依旧失败。。。
    0X03结论
    根据基友JOKE那边提供的部分本机测试和本人的公网测试情况,这次放出的NSA工具包对公网环境影响没有想象中的那么大,本地环境成功复现的环境为新装WIN7、XP、2008,补丁数均为0,由于考虑到杀软部署情况,本次NSA工具包对实际环境影响较小【近似于无影响,毕竟,谁不部署类似360,管家等修漏洞的杀软呢?】,但还是建议关闭/防火墙过滤135、137、445高危端口。
    Debug The World
    发表于 2017-4-16 13:38:32
    对装有杀毒软件的机子一点p用都没有,我测试还炸了两台电脑,求表哥支援
    使用道具 举报 回复
    发表于 2017-4-16 13:56:41
    没啥卵用 现在大部分都有补丁 我测试日03机子的时候都不行.镜像我是下载的2013年的 而且我觉得 这个漏洞很老了。只是最近复现了 才这么火。对大部分机器没啥卵子用 现在安装系统都自带补丁。
    使用道具 举报 回复
    nmap报错怎么解决?

    nmap报错怎么解决

    nmap报错怎么解决
    使用道具 举报 回复
    xoanHn i春秋作家 https://www.laimooc.cn/ i春秋签约作者
    4#
    发表于 2017-4-16 20:25:16
    配置软件下载地址(整理):

    http://ahcert.org.cn/nsa.html
    找到后台了,搞他? https://www.laimooc.cn/page/admin.html
    使用道具 举报 回复
    发表于 2017-4-17 12:05:35
    6666666666
    使用道具 举报 回复
    发表于 2017-4-17 12:49:45
    公子盛 发表于 2017-4-16 10:08
    nmap报错怎么解决?

    这个报错因该是和字体编码有问题,我直接用的kali里面的nmap
    Debug The World
    使用道具 举报 回复
    发表于 2017-4-18 19:19:25
    表哥 .这个工具可以玩一年
    使用道具 举报 回复
    nuesoft i春秋-见习白帽 怎么修改i春秋的id呀
    8#
    发表于 2017-4-19 17:11:35
    6666666666666
    使用道具 举报 回复
    发表于 2017-4-19 21:38:30
    小朋友,这个出来的时候我99%的成功,杀毒什么防火墙都不拦截的,你的知识不对
    使用道具 举报 回复
    发表于 2017-4-19 22:32:01
    本帖最后由 _任先生 于 2017-4-19 23:00 编辑

    小朋友,这个出来的时候我99%的成功,杀毒什么防火墙都不拦截的,你的知识不对
    使用道具 举报 回复
    发表于 2017-4-24 11:39:34
    小朋友,这个出来的时候我99%的成功,杀毒什么防火墙都不拦截的,你的知识不对
    - -不懂信息安全的人是幸福的,而我们的责任就是守护他们的幸福。
    使用道具 举报 回复
    发表于 2017-5-17 23:34:45
    有win2003 和win2012成功的吗?
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册