Guida Guida setup e Risoluzioni problemi Fuzzbunch (Exploit container di Eternalblue, Doublepulsar, ecc..)

Stato
Discussione chiusa ad ulteriori risposte.

ScriptMan

Utente Electrum
25 Settembre 2016
712
17
70
150
Buonasera ragazzi stavo navigando su internet questi giorni e ho notato che, anche se uscito da molto tempo, l'utilizzo di fuzzbunch va di moda o per lo meno la voglia di utilizzarlo. Tuttavia ho comunque notato che il 99% se non il 100% degli utenti ha dei problemi nella configurazione e nell'avvio di esso poichè essendo la "GUI" scritta in python e quindi avendo delle precise dipendenze persone meno esperte tendono a fare un paio di tentativi avviando il file "fb.py" e poi rinunciano non avendo compreso a pieno lo starter pack che bisogna avere per avviarlo.

La guida è divisa in 3 parti: SETUP, RISOLUZIONE PROBLEMI (dove ci sono sia errori di cui ho parlato nel setup che errori post Setup e di cui quindi nella sezione precedente non ho parlato) e NOTE FINALI:

SETUP

Iniziamo dalla repository del file: la repository da dove si possono scaricare i file è questa https://github.com/fuzzbunch/fuzzbunch o questa (è uguale tranne che sulla seconda se segui la mia guida non trovi la parte clone or download) https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master/windows così premendo su clone or download e poi download Zip così facendo partirà il download della zip contenente tutti i file (il peso del file zip è di 149 MB anche se la dimensione dei file estratti sarà di 279 MB).

Per la repository che vi ho dato io che sarebbe quella "ufficiale" è necessario usare un sistema operativo Windows altrimenti se cercate qualcosa per linux specialmente per Debian la repository è questa: https://github.com/mdiazcl/fuzzbunch-debian
Ora continuiamo: una volta scaricato il file estraetelo sul desktop facendo però attenzione a disattivare l'antivirus poichè gli exploit vengono rilevati come trojan da quasi tutti gli AV;
Piccolo consiglio personale: io non vi suggerisco di disattivare l'antivirus completamente ma di scaricare un software sandbox come Sandboxie (link non diretto al download https://www.sandboxie.com/index.php?DownloadSandboxie , link diretto al download https://www.sandboxie.com/SandboxieInstall.exe) poi andare a inserire il percorso di Sandbox (nel caso di Sandboxie nomedisco:/Sandbox) nella lista eccezioni cartelle in modo che l'antivirus non rileva gli exploit nella sandbox ma se per caso clicchiamo per sbaglio uno degli eseguibili infetti essi non possono agire al di fuori della sandbox stessa e se lo fanno l'antivirus è pronto a bloccarli.

Terminato questo piccolo consiglio e dopo aver estratto i vostri file con l'antivirus disattivato o parzialmente disattivato con esclusioni proviamo ad andare ad avviare "fb.py "che sarebbe il file principale; iniziamo col dire che, nel caso in cui non abbiate per nulla python esso non si avvierà anzi windows darà l'errore "Impossibile aprire il file richiesto" ma, se voi avete python 2.7+ vi apparirà per 2 secondi questo errore sulla schermata nera
Codice:
nomepercorso/nomecartella>python fb.py

Traceback (most recent call last):
  File "fb.py", line 6, in <module>
    from fuzzbunch import env
  File "nomepercorso/fb.py", line 24
    print "You are running on an unsuported architecture!"
                                                         ^
SyntaxError: Missing parentheses in call to 'print'

Ciò che vuol dire? Tutto questo dipende dalla versione di python infatti per questo software occorre (condizione necessaria ma non sufficiente) python 2.6 per 32 bit che potete scaricare da qui: https://www.python.org/ftp/python/2.6/python-2.6.msi (anche se avete un pc 64 bit il file da 32 bit va uguale); una volta installato questo e andando a provare a avviare il file ci sarà un ulteriore errore
RAzts28PSuC5RnUfOogrfg.png

facilmente risolvibile poichè manca ancora l'altra condizione necessria al funzionamento della GUI cioè pywin facilmente scaricabile da questo sito (aspettare 5 secondi e parte il download)
https://sourceforge.net/projects/pywin32/files/pywin32/Build 212/pywin32-212.win32-py2.6.exe/download
Il pywin necessario è per python 2.6 32 bit e io vi ho passato proprio il link di quello.
Una volta installato quello e avviato il file vi darà di nuovo l'errore tuttavia al secondo avvio consecutivo il programma sembrerà partire ma crasherà nuovamente questa volta con un errore diverso cioè
Fom4dvUJQ6SBbt2Dl1J5SA.png

Questo errore è più banale di quanto si possa pensare poichè per risolverlo basterà inserire una cartella vuota chiamata listeningposts (tutto minuscolo, è case sensitive se non erro) nella stessa cartella dove è presente il file fb.py. Una volta fatto questo basterà avviarlo e il tutto funzionerà in caso contrario riavviate di nuovo fb.py e avrete il vostro fuzzbunch funzionante (spero in Sandbox).

RISOLUZIONE PROBLEMI:

Ora parliamo prettamente della risoluzione problemi dei quali, riguardo alcuni, abbiamo già accennato prima:
(scriverò i problemi in ordine con cui compariranno)

0: Errore Antivirus mette in quarantena i files:
Risoluzione: o disattivare antivirus o, una volta scaricato un software sandbox come Sandboxie (link non diretto al download: https://www.sandboxie.com/index.php?DownloadSandboxie , link diretto al download https://www.sandboxie.com/SandboxieInstall.exe) aggiungere la cartella della sandbox alle eccezioni antivirus così se per sbaglio avvii un file infetto che dovresti inviare alla vittima sul tuo pc in sandbox esso non può attaccare altre cartelle del pc ma solo la sandbox stessa che è facilmente ripulibile da virus tramite le sue opzioni e se riesce per caso a uscire dalla zona Sandbox l'AV lo bloccherà.

1: Impossibile aprire il file (formato file non riconosciuto)
scaricare python (per la versione di python guardare punto dopo)

2: Versione errata di python
Codice:
nomepercorso/nomecartella >python fb.py

Traceback (most recent call last):
  File "fb.py", line 6, in <module>
    from fuzzbunch import env
  File "nomepercorso/fb.py", line 24
    print "You are running on an unsuported architecture!"
                                                         ^
SyntaxError: Missing parentheses in call to 'print'
bisogna scaricare la versione 2.6 per 32 bit (altrimenti vi compare un altro errore riguardo l'architecture della vostra versione python) da questo link https://www.python.org/ftp/python/2.6/python-2.6.msi (link diretto)

3: Pywin mancante
RAzts28PSuC5RnUfOogrfg.png

bisogna in questo caso scaricare pywin dal sito sourceforge in particolare pywin per python 2.6 per 32 bit; link del download: https://sourceforge.net/projects/pywin32/files/pywin32/Build 212/pywin32-212.win32-py2.6.exe/download (link download diretto basta aspettare 5 secondi e il download parte da sourceforge)

4: Errore pywin parte 2 o errore generico
Si risolve riavviando fb.py dopo la chiusura di esso dovuta all'errore

5: Mancanza cartella listingposts:
Fom4dvUJQ6SBbt2Dl1J5SA.png


questo è uno degli errori più banali per risolverlo occorre semplicemente creare una cartella vuota di nome listingposts (ricordo tutto minuscolo, il nome è case sensitive) sullo stesso percorso (sulla stessa cartella) del file "fb.py"

6: Errore generico parte 2 o mancanza di ulteriori file:
per risolvere questo basta riavviare il file "fb.py" dopo che si chiude per l'errore come nella parte 4

ERRORI DI CUI PRIMA NON HO PARLATO

7: Errore crash sistema vittima
Dalla parte della vittima si vede questo:
28s90g9.jpg


questo è un crash dovuto al metodo di exploitation che include la sovrascrizione di una parte di memoria quindi questo errore che dalla parte dell'attacker compare come "exploit failed" o cose simili è inevitabile nel caso in cui accada (non accade sempre ma solo alcune volte e addirittura una volta può accadere e quella dopo no sullo stesso pc) e quindi non è risolvibile

8: L'exploit funziona ma non c'è connessione col pc exploitato:
Ciò può avvenire per diversi motivi: o il pc è in WAN e non abbiamo effettuato port forwarding (nel caso in cui usiamo un payload reverse_shell stile metasploit) oppure il nostro firewall router impedisce la connessione col pc infetto oppure il nostro windows firewall la impedisce o addirittura il firewall del nostro antivirus blocca questa connessione. Se si tratta di port forwarding basta effettuarlo dalla pagina di configurazione del nostro router, se si tratta di firewall router non ci possiamo fare niente se non andare a usare un firmware custom per il router con impostazioni firewall differenti, per windows firewall basta andare a abilitare il nostro fb.py sulla lista delle applicazioni consentite (per installarlo così da apparire tra le applicazioni di windows firewall basta inserire il nome del file e del percorso fra le applicazioni nel registro di sistema), altrimenti se è presente il firewall dell'antivirus (quindi windows firewall è disabilitato nel 90% dei casi poichè l'antivirus stesso lo disabilita se attiva il suo) basta disabilitare il firewall dell'AV stesso fra la configurazione o le opzioni di protezione (o strumenti di protezione, il nome varia da Antivirus a Antivirus).

NOTE FINALI:

1:Ricordo che l'exploit è utilizzabile anche su metasploit da qualche mese

2:Non usatelo per scopi malevoli ma solo per aumentare la vostra cultura

3:Io non mi assumo nessuna responsabilità di come userete questa guida essa infatti è stata creata solo per aiutare la community intera, in particolare i membri che hanno avuto problemi come questi con questo software

4:Tutte le immagini degli errori sono presi da un post che trattava questo argomento in modo più blando (sottoforma di richiesta di aiuto) alla quale io ho partecipato e ho contribuito alla risoluzione del problema stesso

5: Se avete avuto qualche altro problema particolare come errori diversi da questi non esitate a scriverlo qui sotto o in pm (preferibilmente in pm cioè messaggio privato) e io vi aiuterò a risolverlo magari in messaggio per poi inserire questo errore in questa guida con la relativa risoluzione.

6: Se non avete capito qualcosa di questa guida scrivetemelo qui sotto e io vi aiuterò a capirla sempre su questo topic

7: Se volete che io aggiunga qualcosa che non ho scritto o corregga qualche errore fatemelo presente e io lo farò

8: Critiche costruttive sempre ben accette

Spero che la Guida sia stata di vostro aiuto sia per quanto riguarda il setup che la risoluzione problemi e che le note finali siano utili. Spero anche che serva a tutta la community in modo che anche persone meno abili in questo settore riescano ad avviare e usare (in LAN preferibilmente) questo tool per scopi educativi perchè ricordatevi che anche da piccoli poteri come un software libero (anche se dell'NSA) derivano immense responsabilità.

Vi ringrazio dell'attenzione, spero anche che la guida vi sia piaciuta sia dal livello di struttura che di chiarezza delle informazioni e per questa sezione ci risentiamo alla prossima guida!
 
  • Mi piace
Reazioni: AccountSeller22
Stato
Discussione chiusa ad ulteriori risposte.