web-dev-qa-db-ja.com

EternalBlueエクスプロイトはWindows 8に対して機能しません

私はこのpocを試しました:

https://Gist.github.com/worawit/074a27e90a3686506fc586249934a30e

私が所有するWindows 8ターゲットに対して、コードは次のエラーで終了します。

impacket.nmb.NetBIOSTimeout: The NETBIOS connection with the remote Host      timed out.

エラーは、conn.recvSMB()がある場所で発生します。

smbはポート445で実行されていますが、すべてのファイアウォールとセキュリティルール(ウイルス対策、Windowsファイアウォール、SmartScanなど)は無効になっています。

それは私のWin 8ボックスがEternalblueからかなり安全であることを意味しますか?また、WindowsファイアウォールはこれらすべてのSMB攻撃を阻止するのに十分ですか?はいの場合、なぜEternalblueがそれほど重要なのですか?つまり、Windows 7/8の多くには、ファイアウォールがデフォルトで有効になっています。

編集:私は普遍的な「exec calc.exe」シェルコードを試し、可能なすべての数をnumGroomConnパラメータ(3,4,5 ... etc)で試しました

exploitfirewallswindows-8wannacrysmb
2
4 R4C81D

被害者へのsmb接続が確立されている場合、Eternalblueは正常に機能します。ただし、追加のサービス情報なしのデフォルトのWindows 8以降のインストール:-匿名は、共有(IPC $を含む)にアクセスできません-詳細: https://support.Microsoft.com/en-us/help/3034016/ipc-share-and-null-session-behavior-in-windows -tcpポート445はファイアウォールによってフィルタリングされます

したがって、ユーザー資格情報(ユーザー名とハッシュを含む)を使用してWindows 8以降のバージョンを利用できます。

2
Os Tiger

それがあなたのために機能しないからといって、それが安全であるとは限りません。あなたはあなたの箱にパッチを当てるべきです。

パッチが適用されていないWindows 8ボックスを実行している場合、しないでください安全であると期待されます。

ボックスがパッチされていない場合に機能しない理由はたくさんあります。

  1. 不正なエクスプロイトパッケージを試行している可能性があります。最初に監査せずにランダムなGitHubコードを信頼しますか?
  2. ファイアウォールポリシーが原因でリバースシェルを起動できず、バインドシェルまたはその逆が必要になる場合があります。どちらもできないかもしれませんが、RDPは開いています。その場合は、windows/adduserをペイロードとして。ここで考慮すべきことがたくさんあります-あなたはあなたの箱を列挙する必要があります。
  3. 適切なターゲット、エンコーディング、適切なアーキテクチャ、プロセスなどをターゲットにする必要がある場合があります。基本的に、適切な設定を使用していない可能性があります。

十分な詳細がなければ、私たちは本当にあなたを助けることはできません。パッチを当てましたか?もしそうなら、あなたは大丈夫です。ただし、私は個人的にはSMB= 1.0を無効にするだけです。これはごみ収集の火事だからです。

3
Mark Buffalo