[ms017-010] Dopu, EternalBlue . vulnerabilitée

Sur l'informatique en général : OS, réseaux, logiciels, hardware...

[ms017-010] Dopu, EternalBlue . vulnerabilitée

Messagepar MoLoToF » 27 Avril 2018, 18:59

[retour d'entre les morts]

Hello forumcrack, 14 ans après mon inscription (ça ne me rajeunit pas tout ça!) une forte activité dans mon adolescence, la découverte du reverse dans l'âge d'or du forum, puis quelques passages sporadiques, me revoilà.

Le moment de voir si ce forum est toujours actif. Je traine toujours dans l'info.

Je bosse bien sûr dans mon domaine de prédilection, ou je gère de nombreux parcs informatiques par ma fonction. L'année dernière, j'ai été le premier dans ma boite a mettre le point sur la faille de l'année, a savoir ms017-010 , que nous agentillement offert la NSA . (Tiens, 1 serveur hacké, tiens, 2, a non, 10, eu... 50? Il ce passe un truc la... google new... ah... branlebas de combat, tout le monde sur le pont!)

Bref, j'ai subi de plein fouet cet ensemble de faille, principalement double pulsar et eternalblue .

J'ai bien évidemment testé cette magnifique suite offerte par la NSA , puis, la tempête passée, j'ai mis tout ça de côté. Je reviens aujourd'hui dessus, pour des tests plus poussés . Je ressors mes vm, pour quelques essais.

Je remarque quelques choses sur cette suite. (tous mes OS en VM ne sont pas patché bien évidemment)
- elle semble inexploitable sur Windows XP , et sur Windows 7 32B build 7600 .
D'abord avec une dll meterpreter ou j'ai remarqué n'avoir aucun retour sur ces deux OS, j'ai également compilé moi-même des dll plus simple (créer un fichier, afficher un message box) et je me suis rendu compte que, bien que l'injection soit un succès avec doublepulsar, le code ne s’exécute pas . Je n'ai pas encore sorti une ressource hacker pour voir si mon processus hébergeait bien la DLL.

-il n’échoue par contre jamais sur un w7 build 7601, ou un 2008 R2.

Après de nombreuses recherches sur le net, je n'ai pas trouvé d'article expliquant l’immunité de ces OS à cette faille. Avez-vous des infos ? La seule info que j'ai trouvée, et que par exemple, wanacry, qui utilise cette faille, n'a effectivement pas atteinte Windows XP.

Si vous avez des articles, des explications techniques, je prends !
Avatar de l’utilisateur
MoLoToF
Serials Killer
Serials Killer
 
Messages: 484
Inscription: 03 Novembre 2004, 16:18
Localisation: a coté de la vache

Re: [ms017-010] Dopu, EternalBlue . vulnerabilitée

Messagepar Hao » 27 Avril 2018, 21:31

Je n'ai aucun élément de réponse pour toi. D’où l'intérêt de mon post...
Cependant, je suis enchanté qu'un des vieux de la veille fasse une rechute.
Avatar de l’utilisateur
Hao
Mega Crackeur !
Mega Crackeur !
 
Messages: 277
Inscription: 27 Novembre 2013, 22:24

Re: [ms017-010] Dopu, EternalBlue . vulnerabilitée

Messagepar MoLoToF » 28 Avril 2018, 12:01

on peu le dire ^^ j'ai quand meme retrouvé mon mot de passe du premier coup!

pour en revenir a eternalblue, doublepulsar, si des personnes on joué avec, je suis curieux d'avoir des elements de réponse et de contournement . info complètement absente du net j'ai l'impression .
Avatar de l’utilisateur
MoLoToF
Serials Killer
Serials Killer
 
Messages: 484
Inscription: 03 Novembre 2004, 16:18
Localisation: a coté de la vache

Re: [ms017-010] Dopu, EternalBlue . vulnerabilitée

Messagepar baboon » 28 Avril 2018, 17:19

Tu as testé les outils originel ou juste les versions metasploit ?
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3346
Inscription: 08 Juillet 2005, 17:49

Re: [ms017-010] Dopu, EternalBlue . vulnerabilitée

Messagepar MoLoToF » 28 Avril 2018, 22:48

la j'ai testé principalement avec la version d'origine, le pack relâché par The Shadow Brokers .

et Metasploit uniquement pour le reverse. j'avoue, c'est principalement parce que a l’époque je m’étais monté une VM xp avec les outils en questions . Je n'ai pas testé l'exploitation directement depuis metasploit .

j'ajoute serveur 2008 standard qui ne semble pas vulnérable, en tout cas avec la version d'origine .

j'arrive a ouvrir la brèche avec eternalromance pour XP et 2008, mais l'injection du payload reste sans effet.

tu as obtenu plus de résultat via metasploit? je vais tester les exploits porté sur metasploit pas acquis de conscience tout de même .
Avatar de l’utilisateur
MoLoToF
Serials Killer
Serials Killer
 
Messages: 484
Inscription: 03 Novembre 2004, 16:18
Localisation: a coté de la vache

Re: [ms017-010] Dopu, EternalBlue . vulnerabilitée

Messagepar MoLoToF » 29 Avril 2018, 10:34

bien vu baboom, j'arrive a en tirer quelques choses sur xp , avec le module ms17_010_command .
donc pour le moment

W7 build 7601 toute arch confondue ==> validé
2008 R2 ==> validé
XP SP3 ==> Validé

reste l'exploitation pour le moment non ok sur :

2003 (enfin, j'ai réussi sur une première install une fois, donc je considère tout de même validé même si moins fiable)
2008 standard: échec pour le moment
et w7 en build 7600 échec aussi
Avatar de l’utilisateur
MoLoToF
Serials Killer
Serials Killer
 
Messages: 484
Inscription: 03 Novembre 2004, 16:18
Localisation: a coté de la vache


Retourner vers Informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités