EternalBlue exploit no funciona contra Windows 8

Navega tus respuestas
2

He intentado este poc: 

https://gist.github.com/worawit/074a27e90a3686506fc586249934a30e

contra un objetivo de Windows 8 que tengo, el código sale con un error que dice: 

impacket.nmb.NetBIOSTimeout: The NETBIOS connection with the remote host      timed out.

El error ocurre donde hay conn.recvSMB ().

aunque smb se está ejecutando en el puerto 445, todos los firewalls y las reglas de seguridad están desactivados (Antivirus, Firewall de Windows, SmartScan, etc.).

¿Eso significa que mi caja de Win 8 está bastante segura de Eternalblue? Además, ¿es suficiente el Firewall de Windows para detener todos esos ataques SMB? Si es así, ¿por qué Eternalblue es tan importante? Me refiero a que muchos de los Windows 7/8 vienen con Firewall activado de forma predeterminada.

Editar: probé un shellcode "exec calc.exe" universal y probé todos los números posibles en el parámetro numGroomConn (3,4,5 ... etc)

    
pregunta 4 R4C81D 20.05.2017 - 17:27
fuente

2 respuestas

1

Eternalblue funciona bien cuando se establece una conexión SMB con la víctima. Sin embargo, la instalación predeterminada de Windows 8 y posterior sin información de servicio adicional: - anónimo no tiene permiso para acceder a ninguna acción (incluyendo IPC $)   - Más información: enlace - el puerto tcp 445 está filtrado por el firewall

Para que pueda explotar Windows 8 y versiones posteriores con credenciales de usuario (incluso nombre de usuario y hash).

    
respondido por el Os Tiger 17.11.2017 - 03:16
fuente
3

El hecho de que no funcione para usted no significa que sea seguro. Deberías parchear tu caja.

Si está ejecutando un cuadro de Windows 8 no parcheado, no espera estar seguro.

Hay muchas razones por las que es posible que no funcione si tu caja no está parcheada:

  1. Es posible que esté intentando los paquetes de explotación incorrectos. ¿Confiaría en el código aleatorio de GitHub sin primero auditarlo?
  2. Es posible que no pueda generar un shell inverso debido a las políticas del cortafuegos, y necesitaría un shell de enlace, o al revés. Tal vez usted tampoco puede hacer, pero RDP está abierto; en ese caso, utilice windows/adduser como carga útil. Hay muchas cosas que considerar aquí: deberá enumerar su casilla.
  3. Es posible que necesite el objetivo, la codificación, la arquitectura, el proceso, etc. correctos, básicamente, es posible que no esté utilizando la configuración correcta.

Realmente no podemos ayudarte sin suficientes detalles. ¿Te parcheaste? Si es así, deberías estar bien. Sin embargo, personalmente solo deshabilitaría SMB 1.0 porque es un incendio del basurero.

    
respondido por el Mark Buffalo 17.11.2017 - 04:00
fuente

Lea otras preguntas en las etiquetas

¿Cómo averiguar el protocolo utilizado para la comunicación web (SSL vs TLS)? [duplicar] ¿Sigue siendo relevante el ataque del Karma hoy?