EternalBlue es un exploit desarrollado por la NSA y filtrado por un grupo de Hackers en 2017. Es el responsable del conocido ataque WannaCry.
Se basa en una vulnerabilidad del servicio SMB.
Como siempre, arrancamos nuestra prueba escaneando el sistema objetivo. En este caso utilizamos scripts para encontrar posibles vulnerabilidades
El análisis nos devuelve los siguientes resultados. Podemos ver que el servidio SMB es vulnerable frente al a ID: CVE-2017-0143, no es otra que la vulnerabilidad que explota EternalBlue.
EternalBlue explota una falla en la implementación de SMBv1, que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo sin necesidad de autenticación. El atacante puede enviar paquetes SMB especialmente diseñados que desbordan un búfer en el servicio SMB, lo que le otorga control total sobre el sistema comprometido.
Ejecutaremos el exploit, como es habitual, mediante Metasploit.
En este caso debemos configurar nuestra IP mediante LHOST y la IP del objetivo mediante RHOSTS.
Una vez terminado, lo enviamos.
Hemos configurado de antemano la shell reversa conocida como meterpreter.
Entre otras cosas, Meterpreter nos permite interactuar con el sistema objetivo mediante comandos de linux.
Dado que Windows es un sistema basado en grafica, sus comandos son complicados y limitados, en cambio, con meterpreter podemos interactuar con el sistema como si se tratarse de un sistema linux.
Lo primero que tenemos que revisar es si somos, efectivamente, administradores. En este caso, lo somos. Por lo tanto podemos seguir.
Es importante destacar que, de acuerdo a la arquitectura del sistema objetivo, tengamos que migrar nuestro meterpreter a un proceso más estable, debemos hacerlo a un proceso que sea administrador como nosotros.
Vaciamos los hashes con Hashdump
Usamos John The Ripper para obtener la contraseña de Jon, el usuario administrador.
Aca podemos ver a Meterpreter en acción. Buscamos la primera bandera mediante comandos de Linux, tales como cd, pwd y ls.
Primera bandera capturada.
Podemos seguir buscando la segunda bandera.
La encontramos acá.
Es importante destacar que mterpreter tambien nos indica los permisos otorgados a cada archivo y directorio.
Un listado completo de la carpeta de Jon
Por último, capturamos la última bandera.
Es importante destacar que, si instalamos (o tenemos instalado) un sistema operativo Windows anterior a 2017, principalmente Windows XP, 7 o Server 2016, debemos de actualizarlo inmediatamente. De otro modo nuestro equipo podría ser vulnerable a este conocido ataque.
NOTA: Todas estas pruebas fueron realizado en la página TryHackMe, un sitio que ofrece entornos controlados para practicar pentesting..
Estos procedimientos no deben realizarse a equipos ajenos sin una previa autorización.
