DanderSpritz是NSA泄露的一款著名的界面化远控工具,由于其功能强大因此也成为了许多安全人员争相研究的对象。但在实际测试过程中,由于缺少说明文档,所以问题也层出不穷。而DanderSpritz lab就是为了解决这些问题而被开发出来的。DanderSpritz lab能够让安全研究人员轻松构建和配置功能齐全的DanderSpritz实验环境,以进行相关的逆向及研究测试工作。 [好文分享:www.ii77.com]
关于DanderSpritz lab的介绍可以阅读这篇文章:https://medium.com/@francisck/introducing-danderspritz-lab-461912313d7c
以及我为DanderSpritz创建的文档网站:https://danderspritz.com
警告:本实验环境未执行任何形式的安全加固,并以默认的vagrant凭据运行。因此,请不要将该实验环境连接/桥接到任何重要的网络当中!
安装环境及软件版本要求:
20GB以上的可用磁盘空间
8GB以上的内存
20GB带宽使用(下载ISO,更新,服务包等)
Packer v1.2.3或更高版本
Vagrant v2.1.1或更高版本
Vagrant-Reload插件
Virtualbox(VMWare Fusion/Workstation)
DanderSpritz使用Packer,Vagrant和Vagrant-reload插件来安装和配置实验环境。Packer将直接从Microsoft下载Windows ISO并安装该软件的试用版,以供后续的研究测试使用。
1.克隆DanderSpritz lab存储库到你的机器:git clone git@github.com:francisck/DanderSpritz_lab.git
2.确保你已安装Vagrant-reload插件 vagrant plugin install vagrant-reload
3.运行packer build danderspritz_lab.json命令,下载ISO并构建Vagrant box
4.Vagrant box构建完成后,启动虚拟机:vagrant up
1.启动cmd并执行命令:D:\python fb.py
2.设置默认target地址192.168.40.3
3.设置默认callback地址192.168.40.4
4.不要使用重定向(起初)
5.保留默认日志目录
6.创建一个新项目(选项0)
7.为新项目命名
8.保留默认日志目录
目标利用
1.使用EternalBlue利用目标机器:use eternalblue
2.选择所有选项为默认,除传输机制外(delivery mechanism)。使用“FB”(传统部署)作为传输机制。
3.一旦eternalblue利用成功,配置danderspritz和peddlecheap
配置并启动DanderSpritz
1.另外启动一个cmd并执行命令:D:\python configure_lp
2.允许Java通过防火墙
3.选择”Log directory” 旁的browse,并选择你创建的FuzzBunch项目名称
4.点击”go”
1.在DanderSpritz控制台中,执行命令:pc_prep
2.选择standard x64-winnt level 3 sharedlib payload 5
3.不要选择高级设置
4.选择执行立即回调(immediate callback)
5.使用默认的PC ID (0)
6.选择”Yes”
7.不要更改侦听端口
8.保留默认的 “callback” 地址(127.0.0.1)
9.不要更改exe名称
10.使用默认key(选项2)
11.验证PeddleCheap配置是否有效
12.不要使用FC (felonycrowbar)进行配置
13.复制配置的二进制文件的位置:
通过DoublePulsar后门传输implant (peddlecheap)
1.在Fuzzbunch窗口中输入命令:use doublepulsar
2.当询问你是否希望变量设置提示时选择 “yes”
3.选择所有变量设置为默认,除目标架构外(选项1)1) x64 x64 64-bits
4.选择“RunDLL”(选项2)2)RunDLL使用APC将DLL注入用户模式进程
5.当询问你是否需要执行插件时,将所有其他选项保留为默认值并选择”Yes”
6.你应该能看到 “Doublepulsar succeeded”的提示
使用DanderSpritz连接PeddleCheap implant
1.在DanderSpritz界面的最上方选择“PeddleCheap”
2.从key下拉菜单中选择 “default” key
3.输入目标机器地址(192.168.40.3)
4.选择 “Connect to target”
5.选择你的Fuzzbunch项目名称
6.等待DanderSpritz Survey完成(这里可能需要等待一段时间)
Bring up所有的DanderSprotz Lab主机:vagrant up
Bring up一个特定主机:vagrant up
重启特定主机:vagrant reload
重启特定主机并重新运行provision进程:vagrant reload
销毁特定主机:vagrant destroy
销毁整个Danderspritz Lab环境:vagrant destroy
客户机快照:vagrant snapshot save
恢复快照:vagrant snapshot restore
主机状态检查:vagrant status
暂停实验室环境:vagrant suspend
恢复实验室环境:vagrant resume
许可证过期
在许可证即将过期时,你可以通过在具有管理员权限的命令提示符中用rearm命令后重启电脑。根据微软官方文档中的声明,该命令最多可以重复使用三次,即最多可以再获得90天的windows使用许可。
`slmgr /rearm'
Lab图示
Lab相关信息
域名:windomain.local
管理员登录(所有机器):vagrant:vagrant
DC(域控制器):192.168.40.2/24
目标:192.168.40.3/24
DanderSpritz:192.168.40.4/24
用于Windomain.local的Windows域控制器
WEF Server Configuration GPO
Enhanced Auditing GPO
PowerShell logging GPO
模拟目标 workstation / machine
加入Windomain.local Windows AD域
预安装了一些逆向/可视化工具
Chocolatey包管理工具,可用于进一步的工具安装
DanderSprirtz & Fuzzbunch 预安装
Sysmon
Sysinternal Tools (Procmon, TCPview, etc)
API Monitor
InfoPe
HxD
PEView
Windbg
WireShark
Binary Ninja
HashCalc
IDA 7 Free
Ollydbg
Enhanced Auditing GPO
PowerShell logging GPO
Windows事件转发到域控制器(WEC)
*参考来源:GitHub,FB小编 secist 编译,转载请注明来自FreeBuf.COM
北京时间的24小时里 全球18万华为人 在世界不同的地方 经历虽不尽相同 却始终向着同一个目标 出发 这是每一个华为人入职的第一课 晨练,开启崭新的一天 锻炼的不仅仅是体魄 更是
2018年7月5日,宽带集群产业联盟B-TrunC认证产品第七次专家评审会在京成功召开。此次会议邀请了行业用户单位的专家,针对B-TrunC单系统产品和互联互通产品进行质询和评审。 北京中
俺 黑 君够 黑 ,慎关注! 1.AI人工智能新技能:人脸识别能检测出同性恋? 人脸识别不光能解锁手机,抓逃犯…它还可能检测你是直男还是 Gay? 去年,斯坦福大学的 助理教授 Michael
四年前的我坐在电视机前看着人们 为了那个目标而奋力拼搏 幻想着我也能是其中的一员 如今的我距离那最高的荣耀只有半步之遥 我从未在意世人的争议 只想到达那最高的巅峰 信仰
拿 Notepad 写代码的程序员们开心不? 在多年未更新之后,微软出人意料的透露它将在 Windows 10 下次重大更新中为记事本程序引入多项新功能。 记事本一直是 Windows 系统最基本的工具,
Broadcom(博通)与CA Technologies(以下简称CA)今天宣布达成最终协议,博通同意收购CA,以建立世界领先的基础架构技术公司。 作为大型主机和企业软件的全球领导者。CA利用其在大型
Broadcom(博通)与CA Technologies(以下简称CA)今天宣布达成最终协议,博通同意收购CA,以建立世界领先的基础架构技术公司。 作为大型主机和企业软件的全球领导者。CA利用其在大型
这几天全国多地大雨甚至局部台风,暴雨洗礼过的城市正在微微泛晴,一位媒体人昨天在转发中兴最新消息时感叹:雨过天晴了,不过衣服鞋子都湿透了。 在4月16日美国对中兴通讯激
前两天二炮叔有一篇关于电信运营商吸费陷阱的推送,里面说现在最常给我打电话嘘寒问暖的是各大运营商。现在二炮叔又发现,最常给我发短信的是各类广告商…… 过去用按键手机
现代人生活都要用到手机号码 软件注册新账号要用 寄个快递要用 总之随随便便都要用到 个人信息一旦泄露 后果不堪设想 相信谁都接到过 形形色色、千奇百怪的推销电话, 很多人一
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!