如何利用NSA Smbtouch批量檢測內網？

0x00 前言

最近，NSA滲透工具被曝光，其中包含多個Windows遠程漏洞利用工具，影響很大。

本文不會具體介紹這些遠程漏洞工具的使用方法，而是站在防禦者的角度，介紹如何利用這些工具，更好的去保護自己的內網。

0x01 簡介

本文將要介紹以下內容：

- FuzzBunch使用流程

- Smbtouch功能介紹

- 編寫python腳本實現批量檢測內網是否存在可被SMB和NBT協議攻擊的漏洞

- 根據日誌掌握內網主機信息

檢測的SMB和NBT遠程提權漏漏洞列表如下：

- ETERNALBLUE

- ETERNALCHAMPION

- ETERNALROMANCE

- ETERNALSYNERGY

註：

個人認為，以上四個漏洞危害最大，尤其適用於內網工作組環境

0x02 FuzzBunch

FuzzBunch框架，類似於metasploit，包含探測、攻擊、利用等各種功能(僅根據目前泄露的資料)

下載地址：

https://github.com/fuzzbunch/fuzzbunch

註：

fuzzbunch提取自https://github.com/x0rz/EQGRP_Lost_in_Translation

1. 配置環境

安裝python2.6，參考下載地址：

http://dl.nexiao.com/file.html?url=http%3A//b9.gpxz.net/201402/python-2_gpxz.6_gpxz.6_gpxz.rar

安裝pywin32，參考下載地址：

https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download

2. 添加環境變數 c:python26

3. 執行fb.py進入命令行操作模式

報錯

原因：

泄露的資料里缺少listeningposts文件夾

解決辦法：

在shadowbroker-masterwindows下創建個listeningposts文件夾

或者修改fb.py,修改好的文件可在如下鏈接下載：

https://raw.githubusercontent.com/3gstudent/test/master/fb.py

再次執行fb.py,成功

如圖

註：

執行start_lp.py可進入界面操作模式，如下圖，此處不再過多介紹

4. 設置啟動參數如下：

[?] Default Target IP Address [] :

[?] Default Callback IP Address [] :

[?] Use Redirection [yes] :

[?] Base Log directory [D:logs] :

進入fb的shell後輸入use，可獲得支持的插件目錄

插件共分為五大類，分別為：

- Touch 信息探測、漏洞測試

- ImplantConfig 植入工具

- Exploit 漏洞利用

- Payload

- Special 專用

每一個插件在文件夾下對應三個文件：

- .exe

- .fb

- .xml

例如Special下的Eternalblue-2.2.0，對應shadowbroker-masterwindowsspecials下的

- Eternalblue-2.2.0.exe

- Eternalblue-2.2.0.fb

- Eternalblue-2.2.0.0.xml

查看文件內容可發現：

- exe能夠單獨執行(前提是找到需要的dll文件)

- exe讀取xml文件中保存的配置參數（需要二次修改）

也就是說，只需要單獨的exe和xml配置文件，加上需要的支持文件，就能夠執行對應的插件，不需要完全安裝FuzzBunch框架

0x03 Smbtouch

位於Touch類下，文件位於/windows/touches/，用於探測目標主機是否包含SMB和NBT遠程提權漏漏洞，主要測試以下四個漏洞：

- ETERNALBLUE

- ETERNALCHAMPION

- ETERNALROMANCE

- ETERNALSYNERGY

1.命令行下測試

執行fb.py,進入命令行操作模式

設置好掃描參數，依次執行：

use Smbtouch

execute

如下圖

接著執行插件，回顯如下圖

探測成功，獲得如下信息：

系統：Windows Server 2003 3790 Service Pack 2 x86

可用漏洞：

- ETERNALROMANCE - FB

- ETERNALCHAMPION - DANE/FB

接著使用具體的漏洞攻擊即可

注:

被攻擊主機需要開放445埠，測試環境可選擇關閉防火牆或是手動打開445埠

命令行開啟445埠的代碼如下:

netsh advfirewall firewall add rule name="445" protocol=TCP dir=in localport=445 action=allow

2.直接執行exe

進入文件夾shadowbroker-masterwindowstouches，直接執行Smbtouch-1.1.1.exe

提示缺少dll，如圖

在文件夾shadowbroker-masterwindowslibx86-Windows下找到缺失的dll，補全

直接執行Smbtouch-1.1.1.exe，回顯提示：

TargetIp must have a value assigned.

所以接下來需要編輯Smbtouch-1.1.1.0.xml文件

需要添加如下參數：

- NetworkTimeout：60

- TargetIp：127.0.0.1

- TargetPort：445

- Protocol：SMB

- Credentials：Anonymous

對照xml文件格式，添加代碼`data`，並且重命名為Smbtouch-1.1.1.xml

註：

文件名不是原來的Smbtouch-1.1.1.0.xml

修改好的xml文件可參照：

https://github.com/3gstudent/Smbtouch-Scanner/blob/master/Smbtouch-1.1.1.xml

再次執行Smbtouch-1.1.1.exe

回顯如圖

成功執行，並且回顯xml文件內容

0x04 Smbtouch Scanner

基於以上內容，如果想嘗試對指定網段進行掃描，那麼需要反覆修改xml配置文件，接著執行Smbtouch-1.1.1.exe進行探測

採用python自動實現以上操作，需要考慮如下問題：

- 執行Smbtouch-1.1.1.exe並獲得回顯

- 對回顯內容進行解析，去掉多餘部分

- 對範圍ip地址解析

- 自動讀寫xml文件

- 生成log文件

- 多線程提高效率

完整代碼可參考：

https://github.com/3gstudent/Smbtouch-Scanner

實際測試：

1.設置掃描ip段

如圖

2.執行SmbtouchScanner.py

等待掃描完成，回顯顯示簡要信息

如圖

3.同級目錄生成日誌文件，顯示詳細信息

包含具體存在的漏洞，如圖

4.補充

考慮到安全原因，此開源代碼尚不支持多線程

0x05 防禦建議

針對NSA的SMB和NBT遠程提權漏漏洞，建議升級系統補丁，開啟防火牆，限制445埠

限制445埠的命令行代碼如下：

netsh advfirewall firewall add rule name="445" protocol=TCP dir=in localport=445 action=block

同時，為確保內網安全，可使用SmbtouchScanner.py對內網進行掃描檢測

註：

目前Smbtouch-1.1.1.exe已被殺毒軟體查殺

0x06 小結

本文介紹了如何使用python實現自動檢測內網是否存在可被SMB和NBT協議攻擊的漏洞，當然，泄露的漏洞不止以上4個，Touch插件也不只有Smbtouch

後續更新會同步至github：https://github.com/3gstudent/

本文為 3gstudent 原創稿件，授權嘶吼獨家發布，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: