如何利用NSA Smbtouch批量檢測內網?
0x00 前言
最近,NSA滲透工具被曝光,其中包含多個Windows遠程漏洞利用工具,影響很大。
本文不會具體介紹這些遠程漏洞工具的使用方法,而是站在防禦者的角度,介紹如何利用這些工具,更好的去保護自己的內網。
0x01 簡介
本文將要介紹以下內容:
- FuzzBunch使用流程
- Smbtouch功能介紹
- 編寫python腳本實現批量檢測內網是否存在可被SMB和NBT協議攻擊的漏洞
- 根據日誌掌握內網主機信息
檢測的SMB和NBT遠程提權漏漏洞列表如下:
- ETERNALBLUE
- ETERNALCHAMPION
- ETERNALROMANCE
- ETERNALSYNERGY
註:
個人認為,以上四個漏洞危害最大,尤其適用於內網工作組環境
0x02 FuzzBunch
FuzzBunch框架,類似於metasploit,包含探測、攻擊、利用等各種功能(僅根據目前泄露的資料)
下載地址:
https://github.com/fuzzbunch/fuzzbunch
註:
fuzzbunch提取自https://github.com/x0rz/EQGRP_Lost_in_Translation
1. 配置環境
安裝python2.6,參考下載地址:
http://dl.nexiao.com/file.html?url=http%3A//b9.gpxz.net/201402/python-2_gpxz.6_gpxz.6_gpxz.rar
安裝pywin32,參考下載地址:
https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download
2. 添加環境變數 c:python26
3. 執行fb.py進入命令行操作模式
報錯
原因:
泄露的資料里缺少listeningposts文件夾
解決辦法:
在shadowbroker-masterwindows下創建個listeningposts文件夾
或者修改fb.py,修改好的文件可在如下鏈接下載:
https://raw.githubusercontent.com/3gstudent/test/master/fb.py
再次執行fb.py,成功
如圖
註:
執行start_lp.py可進入界面操作模式,如下圖,此處不再過多介紹
4. 設置啟動參數如下:
[?] Default Target IP Address [] :
[?] Default Callback IP Address [] :
[?] Use Redirection [yes] :
[?] Base Log directory [D:logs] :
進入fb的shell後輸入use,可獲得支持的插件目錄
插件共分為五大類,分別為:
- Touch 信息探測、漏洞測試
- ImplantConfig 植入工具
- Exploit 漏洞利用
- Payload
- Special 專用
每一個插件在文件夾下對應三個文件:
- .exe
- .fb
- .xml
例如Special下的Eternalblue-2.2.0,對應shadowbroker-masterwindowsspecials下的
- Eternalblue-2.2.0.exe
- Eternalblue-2.2.0.fb
- Eternalblue-2.2.0.0.xml
查看文件內容可發現:
- exe能夠單獨執行(前提是找到需要的dll文件)
- exe讀取xml文件中保存的配置參數(需要二次修改)
也就是說,只需要單獨的exe和xml配置文件,加上需要的支持文件,就能夠執行對應的插件,不需要完全安裝FuzzBunch框架
0x03 Smbtouch
位於Touch類下,文件位於/windows/touches/,用於探測目標主機是否包含SMB和NBT遠程提權漏漏洞,主要測試以下四個漏洞:
- ETERNALBLUE
- ETERNALCHAMPION
- ETERNALROMANCE
- ETERNALSYNERGY
1.命令行下測試
執行fb.py,進入命令行操作模式
設置好掃描參數,依次執行:
use Smbtouch
execute
如下圖
接著執行插件,回顯如下圖
探測成功,獲得如下信息:
系統:Windows Server 2003 3790 Service Pack 2 x86
可用漏洞:
- ETERNALROMANCE - FB
- ETERNALCHAMPION - DANE/FB
接著使用具體的漏洞攻擊即可
注:
被攻擊主機需要開放445埠,測試環境可選擇關閉防火牆或是手動打開445埠
命令行開啟445埠的代碼如下:
netsh advfirewall firewall add rule name="445" protocol=TCP dir=in localport=445 action=allow
2.直接執行exe
進入文件夾shadowbroker-masterwindowstouches,直接執行Smbtouch-1.1.1.exe
提示缺少dll,如圖
在文件夾shadowbroker-masterwindowslibx86-Windows下找到缺失的dll,補全
直接執行Smbtouch-1.1.1.exe,回顯提示:
TargetIp must have a value assigned.
所以接下來需要編輯Smbtouch-1.1.1.0.xml文件
需要添加如下參數:
- NetworkTimeout:60
- TargetIp:127.0.0.1
- TargetPort:445
- Protocol:SMB
- Credentials:Anonymous
對照xml文件格式,添加代碼`data`,並且重命名為Smbtouch-1.1.1.xml
註:
文件名不是原來的Smbtouch-1.1.1.0.xml
修改好的xml文件可參照:
https://github.com/3gstudent/Smbtouch-Scanner/blob/master/Smbtouch-1.1.1.xml
再次執行Smbtouch-1.1.1.exe
回顯如圖
成功執行,並且回顯xml文件內容
0x04 Smbtouch Scanner
基於以上內容,如果想嘗試對指定網段進行掃描,那麼需要反覆修改xml配置文件,接著執行Smbtouch-1.1.1.exe進行探測
採用python自動實現以上操作,需要考慮如下問題:
- 執行Smbtouch-1.1.1.exe並獲得回顯
- 對回顯內容進行解析,去掉多餘部分
- 對範圍ip地址解析
- 自動讀寫xml文件
- 生成log文件
- 多線程提高效率
完整代碼可參考:
https://github.com/3gstudent/Smbtouch-Scanner
實際測試:
1.設置掃描ip段
如圖
2.執行SmbtouchScanner.py
等待掃描完成,回顯顯示簡要信息
如圖
3.同級目錄生成日誌文件,顯示詳細信息
包含具體存在的漏洞,如圖
4.補充
考慮到安全原因,此開源代碼尚不支持多線程
0x05 防禦建議
針對NSA的SMB和NBT遠程提權漏漏洞,建議升級系統補丁,開啟防火牆,限制445埠
限制445埠的命令行代碼如下:
netsh advfirewall firewall add rule name="445" protocol=TCP dir=in localport=445 action=block
同時,為確保內網安全,可使用SmbtouchScanner.py對內網進行掃描檢測
註:
目前Smbtouch-1.1.1.exe已被殺毒軟體查殺
0x06 小結
本文介紹了如何使用python實現自動檢測內網是否存在可被SMB和NBT協議攻擊的漏洞,當然,泄露的漏洞不止以上4個,Touch插件也不只有Smbtouch
後續更新會同步至github:https://github.com/3gstudent/
本文為 3gstudent 原創稿件,授權嘶吼獨家發布,未經許可禁止轉載
※入侵檢測鑽石模型和基於網路的威脅複製
※從活動目錄中獲取域管理員許可權的6種方法
※小心閱讀模式下的貓膩——看看我如何在Edge的閱讀模式下繞過SOP
※微軟改進雙因素驗證,轉變為無密碼手機驗證登錄
※通過APC實現Dll注入——繞過Sysmon監控
TAG:嘶吼RoarTalk |
※PowerCLI批量設置Syslog.Global.LogDir
※批量log可追蹤物的網站LogThemAll
※Windows 批量導出 Word、PPT、Excel 的圖片|有輕功 054
※安卓之父Essential Phone開始批量生產
※怎麼用 Photoshop 批量加水印?
※IT之家學院:使用Photoshop為圖片批量添加水印
※php jquery+ajax寫批量刪除
※野心勃勃,SLA專家Formlabs將原技術批量化又推低價SLS 3D印表機
※FB新研究:大批量SGD準確訓練ImageNet僅需1小時
※VMware workstation批量創建虛擬機和自動化安裝操作系統(一)
※定製私人濾鏡、批量處理照片,用這個 App 修圖不能更快了-MIX 濾鏡大師 iOS Android
※iPhone怎麼批量刪除聯繫人?
※定製私人濾鏡、批量處理照片,用這個 App 修圖不能更快了–MIX 濾鏡大師#iOS#Android
※定製私人濾鏡、批量處理照片,用這個 App 修圖不能更快了 – MIX 濾鏡大師 #iOS #Android
※用Python做大批量請求發送
※Excel-VBA批量將表達式轉換為運算結果
※JS Ajax批量刪除數據信息
※揭秘深圳iphone批量發貨
※加速3D列印進入大批量個性化定製,Fraunhofer推出模擬軟體