方程式组织DanderSpritz工具测试环境研究

DanderSpritz是NSA泄露的一款著名的界面化远控工具,由于其功能强大因此也成为了许多安全人员争相研究的对象。但在实际测试过程中,由于缺少说明文档,所以问题也层出不穷。而DanderSpritz lab就是为了解决这些问题而被开发出来的。DanderSpritz lab能够让安全研究人员轻松构建和配置功能齐全的DanderSpritz实验环境,以进行相关的逆向及研究测试工作。

关于DanderSpritz lab的介绍可以阅读这篇文章:https://medium.com/@francisck/introducing-danderspritz-lab-461912313d7c

以及我为DanderSpritz创建的文档网站:https://danderspritz.com

警告:本实验环境未执行任何形式的安全加固,并以默认的vagrant凭据运行。因此,请不要将该实验环境连接/桥接到任何重要的网络当中!

安装环境及软件版本要求:

20GB以上的可用磁盘空间 8GB以上的内存 20GB带宽使用(下载ISO,更新,服务包等) Packer v1.2.3或更高版本 Vagrant v2.1.1或更高版本 Vagrant-Reload插件 Virtualbox(VMWare Fusion/Workstation)

启动DanderSpritz Lab

DanderSpritz使用Packer,Vagrant和Vagrant-reload插件来安装和配置实验环境。Packer将直接从Microsoft下载Windows ISO并安装该软件的试用版,以供后续的研究测试使用。

1.克隆DanderSpritz lab存储库到你的机器:git clone git@github.com:francisck/DanderSpritz_lab.git

2.确保你已安装Vagrant-reload插件 vagrant plugin install vagrant-reload

3.运行packer build danderspritz_lab.json命令,下载ISO并构建Vagrant box

4.Vagrant box构建完成后,启动虚拟机:vagrant up

创建一个FuzzBunch项目

1.启动cmd并执行命令:D:\python fb.py

2.设置默认target地址192.168.40.3

3.设置默认callback地址192.168.40.4

4.不要使用重定向(起初)

5.保留默认日志目录

6.创建一个新项目(选项0)

7.为新项目命名

8.保留默认日志目录

目标利用

1.使用EternalBlue利用目标机器:use eternalblue

2.选择所有选项为默认,除传输机制外(delivery mechanism)。使用“FB”(传统部署)作为传输机制。

3.一旦eternalblue利用成功,配置danderspritz和peddlecheap

配置并启动DanderSpritz

1.另外启动一个cmd并执行命令:D:\python configure_lp

2.允许Java通过防火墙

3.选择”Log directory” 旁的browse,并选择你创建的FuzzBunch项目名称

4.点击”go”

PeddleCheap准备(配置implant)

1.在DanderSpritz控制台中,执行命令:pc_prep

2.选择standard x64-winnt level 3 sharedlib payload 5

3.不要选择高级设置

4.选择执行立即回调(immediate callback)

5.使用默认的PC ID (0)

6.选择”Yes”

7.不要更改侦听端口

8.保留默认的 “callback” 地址(127.0.0.1)

9.不要更改exe名称

10.使用默认key(选项2)

11.验证PeddleCheap配置是否有效

12.不要使用FC (felonycrowbar)进行配置

13.复制配置的二进制文件的位置:

通过DoublePulsar后门传输implant (peddlecheap)

1.在Fuzzbunch窗口中输入命令:use doublepulsar

2.当询问你是否希望变量设置提示时选择 “yes”

3.选择所有变量设置为默认,除目标架构外(选项1)1) x64 x64 64-bits

4.选择“RunDLL”(选项2)2)RunDLL使用APC将DLL注入用户模式进程

5.当询问你是否需要执行插件时,将所有其他选项保留为默认值并选择”Yes”

6.你应该能看到 “Doublepulsar succeeded”的提示

使用DanderSpritz连接PeddleCheap implant

1.在DanderSpritz界面的最上方选择“PeddleCheap”

2.从key下拉菜单中选择 “default” key

3.输入目标机器地址(192.168.40.3)

4.选择 “Connect to target”

5.选择你的Fuzzbunch项目名称

6.等待DanderSpritz Survey完成(这里可能需要等待一段时间)

Vagrant基本使用命令

Bring up所有的DanderSprotz Lab主机:vagrant up

Bring up一个特定主机:vagrant up

重启特定主机:vagrant reload

重启特定主机并重新运行provision进程:vagrant reload—provision

销毁特定主机:vagrant destroy

销毁整个Danderspritz Lab环境:vagrant destroy

客户机快照:vagrant snapshot save

恢复快照:vagrant snapshot restore

主机状态检查:vagrant status

暂停实验室环境:vagrant suspend

恢复实验室环境:vagrant resume

许可证过期

在许可证即将过期时,你可以通过在具有管理员权限的命令提示符中用rearm命令后重启电脑。根据微软官方文档中的声明,该命令最多可以重复使用三次,即最多可以再获得90天的windows使用许可。

`slmgr /rearm'

Lab信息

Lab图示

Lab相关信息

域名:windomain.local

管理员登录(所有机器):vagrant:vagrant

DC(域控制器):192.168.40.2/24

目标:192.168.40.3/24

DanderSpritz:192.168.40.4/24

Lab主机

DC - Windows 2008 R2域控制器

用于Windomain.local的Windows域控制器

WEF Server Configuration GPO

Enhanced Auditing GPO

PowerShell logging GPO

目标 - Windows 7 Workstation

模拟目标 workstation / machine

加入Windomain.local Windows AD域

预安装了一些逆向/可视化工具

Chocolatey包管理工具,可用于进一步的工具安装

DanderSpritz Box - Windows 10

DanderSprirtz & Fuzzbunch 预安装

目标上安装的工具(Windows 7 SP1)

Sysmon

Sysinternal Tools (Procmon, TCPview, etc)

API Monitor

InfoPe

HxD

PEView

Windbg

WireShark

Binary Ninja

HashCalc

IDA 7 Free

Ollydbg

Enhanced Auditing GPO

PowerShell logging GPO

Windows事件转发到域控制器(WEC)

*参考来源:GitHub,FB小编 secist 编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏睿哥杂货铺

Linux 性能诊断:负载评估

从load avgerage等总括性的数据着手,参考CPU使用率和I/O等待时间等具体的数字,从而自顶向下快速排查各进程状态。

28810
来自专栏IT技术精选文摘

解Bug之路-记一次JVM堆外内存泄露Bug的查找

1403
来自专栏蓝天

autoconf手册(一)

Autoconf   Creating Automatic Configuration Scripts   Edition 2.13, for Autoco...

941
来自专栏假装我会写代码

两个非常棒的 Laravel 权限管理包推荐

4913
来自专栏FreeBuf

利用Pentestbox打造MS17-010移动杀器

1、前言 前段时间Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客组织 Equation Group 对于Windows 远程漏洞 MS1...

3497
来自专栏小樱的经验随笔

BugkuCTF sql注入

1483
来自专栏FreeBuf

Windows渗透测试工具:RedSnarf

RedSnarf是一款由Ed William 和 Richard Davy开发的,专门用于渗透测试及红队的安全工具。RedSnarf通过OpSec技术,从Win...

2637
来自专栏惨绿少年

MongoDB 分片集群技术

---- 在了解分片集群之前,务必要先了解复制集技术! ----  1.1 MongoDB复制集简介   一组Mongodb复制集,就是一组mongod进程,...

5049
来自专栏解Bug之路

解Bug之路-串包Bug

笔者很热衷于解决Bug,同时比较擅长(网络/协议)部分,所以经常被唤去解决一些网络IO方面的Bug。现在就挑一个案例出来,写出分析思路,以飨读者,希望读者在以后...

761
来自专栏解Bug之路

解Bug之路-记一次JVM堆外内存泄露Bug的查找 顶

JVM的堆外内存泄露的定位一直是个比较棘手的问题。此次的Bug查找从堆内内存的泄露反推出堆外内存,同时对物理内存的使用做了定量的分析,从而实锤了Bug的源头。笔...

984

扫码关注云+社区

领取腾讯云代金券