vov4ick
25.01.2025, 02:19
Приветствую всех обитателей форума. Здесь будет разобрана машина Blue TryHackME. Я постараюсь осветить уязвимость MS17-010, которая используется в данной задаче,
и которая наделала шуму в свое время.
В ходе атаки мы:
https://forum.antichat.xyz/attachments/29116541/img_5eb21e82d4.png
Просканируем цель на наличие уязвимости.
Используем эксплойт EternalBlue для получения доступа.
Сделаем миграцию в более подходящий процесс.
И получим все имеющиеся флаги.
В дополнение используем С2, получим сессию и закрепимся в системе с помощью диспетчера задач. (это не обязательно, можно применять в других задачах)
Цель: 10.10.31.186
Используем детальное сканирование на уязвимости, используя NSE скрипты:
https://forum.antichat.xyz/attachments/29116541/1737667514333.png
Обнаружена критическая уязвимость MS17-010
https://forum.antichat.xyz/attachments/29116541/1737667556616.png
MS17-010 — критическая уязвимость в Microsoft Server Message Block v1 (SMBv1), обнаруженная в 2017 году. Позволяет злоумышленнику выполнять удаленный код (RCE) без аутентификации, используя специально сформированные SMB-запросы.
Также можно просканировать хост при помощи модуля в метасплоит "auxiliary/scanner/smb/smb_ms17_010":
https://forum.antichat.xyz/attachments/29116541/1737667872795.png
Мы будем использовать windows/smb/ms17_010_eternalblue модуль из Metasploit:
https://forum.antichat.xyz/attachments/29116541/1737668098530.png
В итоге мы получаем сессию в meterpreter и командой getuid убеждаемся, что мы SYSTEM.
https://forum.antichat.xyz/attachments/29116541/1737668154897.png
В дальнейшем мы будем мигрировать в другой процесс.
Основные причины для миграции в другой процесс:
1. Устойчивость (Persistence)
Если текущий процесс завершится (например, пользователь закроет программу, в которую внедрен Meterpreter), то сессия также закроется.
Чтобы избежать потери доступа, можно мигрировать в системный процесс, который стабилен и редко перезапускается.
2. Повышение привилегий
Если ваш изначальный процесс работает без административных привилегий, можно попробовать мигрировать в процесс SYSTEM.
Пример: процесс spoolsv.exe (диспетчер очереди печати) часто работает от имени NT AUTHORITY\SYSTEM.
3. Антидетект (Evasion)
Антивирусы и системы обнаружения вторжений (IDS/IPS) могут быстро выявить вредоносный процесс и завершить его.
Миграция в легитимный процесс (например, svchost.exe) помогает скрыть присутствие вредоносного кода.
4. Возможность выполнения Mimikatz и других атак
Некоторые инструменты (например, Mimikatz) требуют участия в процессе с SYSTEM-привилегиями.
Лучше использовать процессы с более высоким PID от 1000. Так как процессы ниже - это критические системные процессы.
Если ты мигрируешь в критический системный процесс, и что-то пойдет не так, Windows может зависнуть, крашнуться или уйти в BSOD.
Риск зависания или краша системы
Антивирусы и EDR следят за системными процессами
Многие процессы с низкими PIDs защищены от внедрения кода
В данном случае проверяем, какие процессы имеются, и выбор пал на 1288 spoolsv.exe:
https://forum.antichat.xyz/attachments/29116541/1737669203368.png
Это служба диспетчера очереди печати:
Работает с системными привилегиями
Редко завершает работу, работает всегда
Не вызывает подозрений в сетевых средах
Доступен почти на всех версиях Windows
Мигрируем и получаем шелл:
https://forum.antichat.xyz/attachments/29116541/1737669314518.png
Так как мы на правах системы, получаем дамп хешей:
https://forum.antichat.xyz/attachments/29116541/1737669609294.png
В данном случае у нас есть только доступ к Jon:
https://forum.antichat.xyz/attachments/29116541/1737726141048.png
Также можно сбрутить пароль, но в дальнейшем он не понадобится, так как доступов у нас нет практически никуда.
https://forum.antichat.xyz/attachments/29116541/1737669839272.png
https://forum.antichat.xyz/attachments/29116541/1737669860542.png
Поищем флаги в системе:
https://forum.antichat.xyz/attachments/29116541/1737727682749.png
https://forum.antichat.xyz/attachments/29116541/1737727757988.png
https://forum.antichat.xyz/attachments/29116541/1737727757996.png
На этом я не остановился и попробовал сгенерировать нагрузку через С2 и загрузить ее. В итоге я получил сессию SYSTEM:
https://forum.antichat.xyz/attachments/29116541/1737738804706.png
Далее я закрепился через планировщик задач. Это довольно попсовая техника, которую знают многие.
Создание задачи, которая будет запускаться каждую минуту, в данном случае:
https://forum.antichat.xyz/attachments/29116541/1737738929000.png
В итоге через минуту прилетела еще одна сессия, это удобно использовать, если вас не устраивает сессия meterpreter:
https://forum.antichat.xyz/attachments/29116541/1737739028566.png
Можно еще было сослаться на DoublePulsar - атаку, так как она использовалась APT-группировками в купе с EternalBlue для получения бэкдора.
Но я думаю, и этого хватит.
Итог:
MS17-010 остаётся ключевой уязвимостью в атакующих цепочках,при эксплуатации старых серверов и рабочих станций. Несмотря на наличие патчей, недостаточная кибергигиена позволяет злоумышленникам использовать её даже спустя годы.
Любая уязвимая система = потенциальная жертва атаки! Защита начинается с обновлений и контроля сетевого трафика.
Спасибо, что дочитали статью до конца! Если эта статья помогла вам лучше понять механизмы атак, не забывайте применять знания на практике: исследуйте, анализируйте и защищайте свою инфраструктуру. До новых встреч!
и которая наделала шуму в свое время.
В ходе атаки мы:
https://forum.antichat.xyz/attachments/29116541/img_5eb21e82d4.png
Просканируем цель на наличие уязвимости.
Используем эксплойт EternalBlue для получения доступа.
Сделаем миграцию в более подходящий процесс.
И получим все имеющиеся флаги.
В дополнение используем С2, получим сессию и закрепимся в системе с помощью диспетчера задач. (это не обязательно, можно применять в других задачах)
Цель: 10.10.31.186
Используем детальное сканирование на уязвимости, используя NSE скрипты:
https://forum.antichat.xyz/attachments/29116541/1737667514333.png
Обнаружена критическая уязвимость MS17-010
https://forum.antichat.xyz/attachments/29116541/1737667556616.png
MS17-010 — критическая уязвимость в Microsoft Server Message Block v1 (SMBv1), обнаруженная в 2017 году. Позволяет злоумышленнику выполнять удаленный код (RCE) без аутентификации, используя специально сформированные SMB-запросы.
Также можно просканировать хост при помощи модуля в метасплоит "auxiliary/scanner/smb/smb_ms17_010":
https://forum.antichat.xyz/attachments/29116541/1737667872795.png
Мы будем использовать windows/smb/ms17_010_eternalblue модуль из Metasploit:
https://forum.antichat.xyz/attachments/29116541/1737668098530.png
В итоге мы получаем сессию в meterpreter и командой getuid убеждаемся, что мы SYSTEM.
https://forum.antichat.xyz/attachments/29116541/1737668154897.png
В дальнейшем мы будем мигрировать в другой процесс.
Основные причины для миграции в другой процесс:
1. Устойчивость (Persistence)
Если текущий процесс завершится (например, пользователь закроет программу, в которую внедрен Meterpreter), то сессия также закроется.
Чтобы избежать потери доступа, можно мигрировать в системный процесс, который стабилен и редко перезапускается.
2. Повышение привилегий
Если ваш изначальный процесс работает без административных привилегий, можно попробовать мигрировать в процесс SYSTEM.
Пример: процесс spoolsv.exe (диспетчер очереди печати) часто работает от имени NT AUTHORITY\SYSTEM.
3. Антидетект (Evasion)
Антивирусы и системы обнаружения вторжений (IDS/IPS) могут быстро выявить вредоносный процесс и завершить его.
Миграция в легитимный процесс (например, svchost.exe) помогает скрыть присутствие вредоносного кода.
4. Возможность выполнения Mimikatz и других атак
Некоторые инструменты (например, Mimikatz) требуют участия в процессе с SYSTEM-привилегиями.
Лучше использовать процессы с более высоким PID от 1000. Так как процессы ниже - это критические системные процессы.
Если ты мигрируешь в критический системный процесс, и что-то пойдет не так, Windows может зависнуть, крашнуться или уйти в BSOD.
Риск зависания или краша системы
Антивирусы и EDR следят за системными процессами
Многие процессы с низкими PIDs защищены от внедрения кода
В данном случае проверяем, какие процессы имеются, и выбор пал на 1288 spoolsv.exe:
https://forum.antichat.xyz/attachments/29116541/1737669203368.png
Это служба диспетчера очереди печати:
Работает с системными привилегиями
Редко завершает работу, работает всегда
Не вызывает подозрений в сетевых средах
Доступен почти на всех версиях Windows
Мигрируем и получаем шелл:
https://forum.antichat.xyz/attachments/29116541/1737669314518.png
Так как мы на правах системы, получаем дамп хешей:
https://forum.antichat.xyz/attachments/29116541/1737669609294.png
В данном случае у нас есть только доступ к Jon:
https://forum.antichat.xyz/attachments/29116541/1737726141048.png
Также можно сбрутить пароль, но в дальнейшем он не понадобится, так как доступов у нас нет практически никуда.
https://forum.antichat.xyz/attachments/29116541/1737669839272.png
https://forum.antichat.xyz/attachments/29116541/1737669860542.png
Поищем флаги в системе:
https://forum.antichat.xyz/attachments/29116541/1737727682749.png
https://forum.antichat.xyz/attachments/29116541/1737727757988.png
https://forum.antichat.xyz/attachments/29116541/1737727757996.png
На этом я не остановился и попробовал сгенерировать нагрузку через С2 и загрузить ее. В итоге я получил сессию SYSTEM:
https://forum.antichat.xyz/attachments/29116541/1737738804706.png
Далее я закрепился через планировщик задач. Это довольно попсовая техника, которую знают многие.
Создание задачи, которая будет запускаться каждую минуту, в данном случае:
https://forum.antichat.xyz/attachments/29116541/1737738929000.png
В итоге через минуту прилетела еще одна сессия, это удобно использовать, если вас не устраивает сессия meterpreter:
https://forum.antichat.xyz/attachments/29116541/1737739028566.png
Можно еще было сослаться на DoublePulsar - атаку, так как она использовалась APT-группировками в купе с EternalBlue для получения бэкдора.
Но я думаю, и этого хватит.
Итог:
MS17-010 остаётся ключевой уязвимостью в атакующих цепочках,при эксплуатации старых серверов и рабочих станций. Несмотря на наличие патчей, недостаточная кибергигиена позволяет злоумышленникам использовать её даже спустя годы.
Любая уязвимая система = потенциальная жертва атаки! Защита начинается с обновлений и контроля сетевого трафика.
Спасибо, что дочитали статью до конца! Если эта статья помогла вам лучше понять механизмы атак, не забывайте применять знания на практике: исследуйте, анализируйте и защищайте свою инфраструктуру. До новых встреч!