L'exploit EternalBlue non funziona contro Windows 8

2

ho provato questo poc:

https://gist.github.com/worawit/074a27e90a3686506fc586249934a30e

contro un target di Windows 8 che possiedo, il codice termina con un errore che dice:

impacket.nmb.NetBIOSTimeout: The NETBIOS connection with the remote host      timed out.

L'errore si verifica ovunque ci sia conn.recvSMB ().

Anche se smb è in esecuzione sulla porta 445, tutti i firewall e le regole di sicurezza sono disattivati (antivirus, firewall di Windows, SmartScan, ecc.).

Significa che la mia casella di Win 8 è abbastanza sicura da Eternalblue? Inoltre, Windows Firewall è sufficiente per bloccare tutti gli attacchi SMB? Se sì, allora perché Eternalblue è un così grande affare? Voglio dire un sacco di Windows 7/8 venire con Firewall attivato di default.

Modifica: ho provato uno shellcode universale "exec calc.exe" e ho provato tutti i possibili numeri nel parametro numGroomConn (3,4,5 ... ecc.)

    
posta 4 R4C81D 20.05.2017 - 17:27
fonte

2 risposte

1

Eternalblue funziona bene quando viene stabilita la connessione smb alla vittima. Tuttavia, l'installazione predefinita di Windows 8 e successive senza ulteriori informazioni sul servizio: - L'accesso anonimo non è consentito ad alcuna condivisione (incluso IPC $)   - Ulteriori informazioni: link - La porta TCP 445 viene filtrata dal firewall

Quindi puoi sfruttare Windows 8 e versioni successive con credenziali utente (anche nome utente e hash).

    
risposta data 17.11.2017 - 03:16
fonte
3

Solo perché non funziona per te non significa che sia sicuro. Dovresti patchare la tua scatola.

Se stai utilizzando una casella di Windows 8 senza patch, non si aspetti che sia sicuro.

Ci sono molti motivi per cui potrebbe non funzionare se la tua casella è priva di patch:

  1. Potresti provare a utilizzare i pacchetti di exploit errati. Ti fideresti del codice GitHub casuale senza prima verificarlo?
  2. Potresti non essere in grado di generare una shell inversa a causa dei criteri del firewall, e avrebbe bisogno di una shell di collegamento, o viceversa. Forse non puoi farlo, ma RDP è aperto; in tal caso, usa windows/adduser come carico utile. Ci sono molte cose da considerare qui: dovrai enumerare la tua casella.
  3. Potresti aver bisogno dell'obiettivo giusto, della codifica, di indirizzare la giusta architettura, processo, ecc ... in pratica, potresti non utilizzare le impostazioni corrette.

Non possiamo davvero aiutarti senza sufficienti dettagli. Hai patch? Se è così, dovresti stare bene. Tuttavia, personalmente disabiliterei SMB 1.0 perché è un incendio di cassonetti.

    
risposta data 17.11.2017 - 04:00
fonte

Leggi altre domande sui tag