Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a [email protected], si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

Configurando el "Metasploit NSA" para correr EternalBlue + DoublePulsar

Configurando el "Metasploit NSA" para correr EternalBlue + DoublePulsar

En el mes de agosto la NSA fue hackeada por un grupo conocido como Shadow Brokers, llevándose gran cantidad de exploits en el proceso. La Agencia de Seguridad Nacional de Estados Unidos, uno de los organismos más odiados por los activistas pro privacidad, recibía una dosis de su propia medicina. Lo que se pretende es recopilar esa información y crearla en un ambiente virtual.

Como primera medida después de haber instalado el Python 2.6 (Únicamente da clic en siguiente hasta llegar al botón de Finalizar ), se debe registrar en la variable PATH del Windows

Luego de haber realizado esto te debe aparecer una ventana como la anterior esto significa que la instalación fue correcta; para agregarlo a la variable de entorno se debe ir panel de control – Sistemas – opciones avanzadas, variables de entorno – se debe buscar PATH seleccionarlo y darle en modificar y allí escribiremos C:\Python26

  • Para confirmar que tienes instalado Python, da clic en el botón Inicio->Ejecutar y escribe cmd
  • Se abrirá la consola de comandos de Windows, ahora busca la carpeta donde se instaló Python
  • Si dejaste la carpeta que trae por defecto la instalación solo deberás escribir en la consola cd C:\Python26

Debemos descomprimir el paquete de shadowbroker-master

Después de abrir el Notepad++ con el archivo fb que están en la carpeta de Windows debemos ir a la línea 72 la cual nos muestra ListeningPost y debemos decomumentarla con solo poner al inicio #

Luego continuamos con que debemos ingresar en la misma carpeta de Windows al archivo que dice Fuzzbunch.XML (con NOTEPAD++) para poder modificar línea 19 y la línea 24.
* En la línea 19 se debe modificar la ruta donde tenemos guardado el archivo shadowbroker-master la carpeta source
* En la línea 24 el mismo proceso con los logs

Se guarda.

Ahora el mismo archivo "python fb.py” lo ejecutamos para ver el Fuzzbunch ejecutándose correctamente por el cmd.

necesitamos la maquina virtual con Windows XP para instalar todas las herramientas. En mi PC tengo un Windows 7 con la IP: xxx.xxx.xxx.xxx que será el target y el Windows XP con Fuzzbunch en la IP xxx.xxx.xxx.xxx.xxx como atacante.
Cuando iniciamos Fuzzbunch se nos pregunta la IP del target, ahí indicamos la IP del Windows 7. Inmediatamente después se nos pide la IP del callback, que sería el atacante, o sea, la IP del Windows XP.

Es necesario que sean una virtual XP y una PC Windows 7 ya que solo es compatible los parches con estos sistemas operativos.

Presionamos enter para continuar y se nos pedirá indicar un nombre al proyecto, en este caso no le puse ningún nombre y quedo como nombre 0 – proyecto1. Si no tienen ninguno, al presionar enter se les pedirá un nombre y nada más, con ese dato ya se crea la carpeta de logs para ese proyecto y Fuzzbunch quedará con la terminal en “fb>”.

En este caso vamos a selección el exploit EternalBlue se ejecuta así: use EternalBlue

De ahí vamos a dar enter es decir dejamos todo por defecto hasta el punto de la imagen mode 0 se cambia a 1

Luego nos aparece la opción de ejecutar el plugin decimos que si

En este caso no pude continuar ya que me aparece fallido el EternalBLue, según me comentan es que tenia el parche pywin32-212.win32-py2.6 instalado en la maquina atacante pero. Se desinstalo pero aun continua el mismo error.

Si alguno sabe qué debo hacer para continuar se lo agradecería para continuar y terminar con el tutorial.

Despues de haber investigado, pude continuar con el post me base con el post que realizo, @sheila asi que depues de ejecutar el eternalblue nos debe aparecer asi :

Cuando se ejecuta el EternalBlue aparece este mensaje “Eternal blue succeeded”
Ahora desde una maquina Linux debemos crear el Empire DLL lo clonamos de la pag https://github.com/EmpireProject/Empire.

Como podemos observar no hay ningún Listener creado por ende es necesario crearlo asi: el Host es la ip que tiene asignada la maquina Linux la mía es la 192.168.144.133

Creamos el dll malicioso, queda guardado en /tmp/launcher.dll y se crea asi:
Usestager dll Eternal
Set Arch x64
Execute
Luego de estar creado se debe pasar a la maquina XP en la carpeta donde se encuentra el Fuzzbunch

De ahí debemos utilizar el Doublepulsar en la maquina XP

Debemos estar pendientes de los parámetros que se deben ejecutar como lo es
Architecture [1]: 1
Function [0]: 2


Se ejecuta el plugin se dice que YES

Si todo sale bien queda asi:

Automáticamente en la maquina Linux esta corriendo el DLL y nos muestra los agentes de la maquina asi:

Luego debemos con el msf generar el payload del meterpreter http


De ahí continuamos con el code execution” de Empire para inyectar el meterpreter

Ya ejecutamos el exploit y nos damos cuenta que con solo tener la ip del cliente poder tener acceso a la maquina

En este momento como soy inexperto en el tema de la seguridad debo reforzar lo que es un meterpreter, como generar un DLL, como saber cuando se ejecuta un payload.

Espero les guste y se util :wink:

Comentarios

  • Muchas gracias, en esto de la seguridad nadie tiene el conocimiento absoluto.

Accede o Regístrate para comentar.