FuzzBunch资源:https://github.com/misterch0c/shadowbroker,从GitHub上下载下来解压为
我要复现的是windows的工具—windows文件夹下payloads子文件夹下的工具Regdelete
exe作为插件,通过FuzzBunch框架调用运行,具体可以参见这篇博客:https://blog.csdn.net/yiyiiyiy/article/details/78627053
FuzzBunch框架配置好之后,按win+R快捷键,输入cmd进入命令行,比如我按照上面博客会把shadowbroker-master直接复制到C盘,那么进入到C:\shadowbroker-master\windows路径下(cd C:\shadowbroker-master\windows),输入fb.py,应该出现下图:
第一次进入应该会让你新建一个项目,随便取个名字就行。设置你要攻击的ip,以及回显的ip(一般就是攻击机)
要使用Regdelete工具,输入命令use Regdelete;出现下图
接下来有一些值需要设置,Value列有值的可以不用管,没有值的就需要自己设置了,下面分别来看
1)RegKey:The registry key containing the entity to be deleted,去翻译一下,意思是:包含要删除的实体的注册表项;首先,我们来看一下注册表大致是个什么样子,还是win+R快捷键输入regedit,显示注册表
windows将其分了不同组:HKEY_CLASSROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE,HKEY_USER,HKEY_CURRENT_CONFIG,具体更改哪个组下的注册表项在后面确定,这里要确定的是组下面要更改的注册表项,比如说我要更改HKEY_LOCAL_MACHINE下的SOFTWARE注册表项,那么我就要把RegKey的值设置为53004f004600540057004100520045005c00,是不是没反应过来怎么就把RegKey设置为一串完全看上去没关系的数字;是这样的,这一串数字其实是SOFTWARE的另一种表示,转换过程如下:
就是将字符串SOFTWARE转换为16进制数,再转换成Unicode格式,即在每个字节之后添加0x00,所以就变成了上面的53004f004600540057004100520045005c00,如果你想更改其他的注册表项,对其他的字符串做同样的处理过程即可!
2)EntityToDelete:大概是说要删除的实体,由于我的靶机就是攻击机,为了保护系统,我这里自己在SOFTWARE新建一个值
新建的字符串值命名为test
那么和设置RegKey一样,EntityToDelete设置为7400650073007400;
3)RegHive:包含要删除的键或值的注册表单元格,这里我们选择HKLM,代表HKEY_LOCAL_MACHINE
4)TypeToDelete:我们要删除的是一个值,因此选择value
5)CredentialType:凭证类型,一般我们选择第二种方式—PasswordHash,具体的你要看一下关于windows下密码Hash的介绍:https://xz.aliyun.com/t/1943;以我设置的密码375942为例,它对应的Hash值为ee191056999df6358f94af3a8ec0a27c
6)UserName:靶机的用户名,同样地,用户名Administrator转换为16进制数,再转换为Unicode格式;
7)Credential:凭证
以我设置的密码375942为例,它作为字符串转换为16进制数,然后转换为Unicode格式,然后计算MD4值,如下图:
计算出Hash值为ee191056999df6358f94af3a8ec0a27c;
最后会显示一下我们设置的值
然后,执行此payload,在执行之前,要确保靶机开启远程注册表服务,可按如下设置打开:win+R快捷键,输入secpol.msc,打开本地安全策略
进入安全设置—>本地策略—>安全选项
编辑右边的可远程访问的注册表路径
因为我们要编辑SOFTWARE,因此要把SOFTWARE加入可远程访问的注册表路径中,两个路径都要设置
还有允许注册表可被远程修改,win+R快捷键输入services.msc
将Remote Registry修改为自动启动,并且将其启动
右键,属性进行修改,然后再右键,点启动
这样就可以来执行Regdelete了,执行成功的效果如下
我们可以再打开注册表编辑器看一下,SOFTWARE下的test确实被删除了
883
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
