FuzzBunch之payload—Regdelete复现(win7)

最新推荐文章于 2024-06-01 10:03:01 发布
最新推荐文章于 2024-06-01 10:03:01 发布
阅读量627 收藏 1
点赞数 1
分类专栏: exp复现与分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckm1607011/article/details/107370625
版权

FuzzBunch资源:https://github.com/misterch0c/shadowbroker,从GitHub上下载下来解压为

我要复现的是windows的工具—windows文件夹下payloads子文件夹下的工具Regdelete

exe作为插件,通过FuzzBunch框架调用运行,具体可以参见这篇博客:https://blog.csdn.net/yiyiiyiy/article/details/78627053

FuzzBunch框架配置好之后,按win+R快捷键,输入cmd进入命令行,比如我按照上面博客会把shadowbroker-master直接复制到C盘,那么进入到C:\shadowbroker-master\windows路径下(cd C:\shadowbroker-master\windows),输入fb.py,应该出现下图:

第一次进入应该会让你新建一个项目,随便取个名字就行。设置你要攻击的ip,以及回显的ip(一般就是攻击机)

要使用Regdelete工具,输入命令use Regdelete;出现下图

接下来有一些值需要设置,Value列有值的可以不用管,没有值的就需要自己设置了,下面分别来看

1)RegKey:The registry key containing the entity to be deleted,去翻译一下,意思是:包含要删除的实体的注册表项;首先,我们来看一下注册表大致是个什么样子,还是win+R快捷键输入regedit,显示注册表

windows将其分了不同组:HKEY_CLASSROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE,HKEY_USER,HKEY_CURRENT_CONFIG,具体更改哪个组下的注册表项在后面确定,这里要确定的是组下面要更改的注册表项,比如说我要更改HKEY_LOCAL_MACHINE下的SOFTWARE注册表项,那么我就要把RegKey的值设置为53004f004600540057004100520045005c00,是不是没反应过来怎么就把RegKey设置为一串完全看上去没关系的数字;是这样的,这一串数字其实是SOFTWARE的另一种表示,转换过程如下:

就是将字符串SOFTWARE转换为16进制数,再转换成Unicode格式,即在每个字节之后添加0x00,所以就变成了上面的53004f004600540057004100520045005c00,如果你想更改其他的注册表项,对其他的字符串做同样的处理过程即可!

2)EntityToDelete:大概是说要删除的实体,由于我的靶机就是攻击机,为了保护系统,我这里自己在SOFTWARE新建一个值

新建的字符串值命名为test

那么和设置RegKey一样,EntityToDelete设置为7400650073007400;

3)RegHive:包含要删除的键或值的注册表单元格,这里我们选择HKLM,代表HKEY_LOCAL_MACHINE

4)TypeToDelete:我们要删除的是一个值,因此选择value

5)CredentialType:凭证类型,一般我们选择第二种方式—PasswordHash,具体的你要看一下关于windows下密码Hash的介绍:https://xz.aliyun.com/t/1943;以我设置的密码375942为例,它对应的Hash值为ee191056999df6358f94af3a8ec0a27c

6)UserName:靶机的用户名,同样地,用户名Administrator转换为16进制数,再转换为Unicode格式;

7)Credential:凭证

以我设置的密码375942为例,它作为字符串转换为16进制数,然后转换为Unicode格式,然后计算MD4值,如下图:

计算出Hash值为ee191056999df6358f94af3a8ec0a27c;

最后会显示一下我们设置的值

然后,执行此payload,在执行之前,要确保靶机开启远程注册表服务,可按如下设置打开:win+R快捷键,输入secpol.msc,打开本地安全策略

进入安全设置—>本地策略—>安全选项

编辑右边的可远程访问的注册表路径

因为我们要编辑SOFTWARE,因此要把SOFTWARE加入可远程访问的注册表路径中,两个路径都要设置

还有允许注册表可被远程修改,win+R快捷键输入services.msc

将Remote Registry修改为自动启动,并且将其启动

右键,属性进行修改,然后再右键,点启动

这样就可以来执行Regdelete了,执行成功的效果如下

我们可以再打开注册表编辑器看一下,SOFTWARE下的test确实被删除了

很强悍的删除系统垃圾批处理工具
09-28
自己编写的很强悍的删除系统垃圾批处理工具: @echo off color 02 echo ::清理局域网共享痕迹--注册表:: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares" /f >nul 2>nul echo ::用户运行或操作历史记录--注册表:: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Folder" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.txt" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.rar" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.mp3" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.ini" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.bmp" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.doc" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.eip" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.htm" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.ico" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.inf" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.gif" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.wav" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.xls" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.rm" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\mp3" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\rm" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\wav" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\bat" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\eip" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\ico" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\htm" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\jpg" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count" /va /f >nul 2>nul reg delete "HKCU\Software\WinRAR\ArcHistory" /va /f >nul 2>nul reg delete "HKCU\Software\WinRAR\DialogEditHistory\ArcName" /va /f >nul 2>nul reg delete "HKCU\Software\WinRAR\DialogEditHistory\ExtrPath" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\MediaPlayer\Player\RecentFileList" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Microsoft Management Console\Recent File List" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Office\11.0\PowerPoint\Recent File List" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Office\11.0\Excel\Recent File" /va /f >nul 2>nul reg delete "HKCU\Software\Microsoft\Office\11.0\Word\Data" /v "Settings" /f >nul 2>nul reg delete "HKCU\Software\VMware, Inc." /va /f >nul 2>nul echo ::清理IE浏览历史的下拉列表--注册表:: reg delete "HKCU\Software\Microsoft\Internet Explorer\TypedUrls" /va /f >nul 2>nul echo ::清理系统垃圾文件:: del /f /q "%ALLUSERSPROFILE%\Documents\DrWatson\*.*">nul 2>nul del /f /q "%USERPROFILE%\Application Data\Microsoft\Office\Recent\*.lnk">nul 2>nul del /f /s /q %systemdrive%\*.tmp del /f /s /q %systemdrive%\*._mp del /f /s /q %systemdrive%\*.log del /f /s /q %systemdrive%\*.gid del /f /s /q %systemdrive%\*.chk del /f /s /q %systemdrive%\*.old del /f /s /q %USERPROFILE%\Local Settings\Temp\*.* del /f /s /q %systemdrive%\recycled\*.* del /f /s /q %windir%\*.bak del /f /q %userprofile%\cookies\*.* del /f /q %userprofile%\recent\*.* del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*" del /f /s /q "%userprofile%\Local Settings\Temp\*.*" del /f /s /q "%userprofile%\recent\*.*" del /f /s /q %windir%\system32\dllcache\*.* DEL /F /s /q %windir%\temp\*.* del /f /s /q %windir%\prefetch\*.* del /f /s /q %windir%\*.log echo sfc /purgecache '清理系统盘无用文件 echo defrag %systemdrive% -b '优化预读信息 exit 将以上代码存为.bat文件即可。 建议大家手动删一下这些目录下的垃圾文件: C:\WINDOWS\system32\dllcache C:\WINDOWS\Prefetch C:\WINDOWS\Temp C:\Documents and Settings\%userfile%\Cookies C:\Documents and Settings\Administrator\Local Settings\Temp C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files C:\Documents and Settings\Administrator\Recent 还有windows目录下所有蓝色的以$符号开头结尾的系统更新垃圾! 当然,你要开启查看隐藏文件才行,
fuzzbunch工具实现dll注入
Ms08067安全实验室
07-20 966
文章来源|MS08067内网安全知识星球本文作者:BlackCat(Ms08067 内网小组成员)前言上阶段无意间接触到了这个工具,感觉功能还可以,在最近的hw中,测试发现,在一些08的...
REG Delete用法
weixin_34245169的博客
11-16 6740
reg delete 从注册表删除项或子项   语法:reg delete KeyName [{/v EntryName|/ve|/va}] [/f]   参数   KeyName   指定子项的完全路径。对于远程计算机,请在\ComputerName\PathToSubkey中的子项路径前包含计算机名称。忽略ComputerName会导致默认对本地计算...
linux运行fuzzbunch,[原创]漏洞之永恒之蓝(简单复现
weixin_39628070的博客
05-10 247
漏洞分析之永恒之蓝(ms17-010)目录☛ 1.漏洞介绍1.漏洞描述Eternalblue通过 TCP 端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的windows机器,无需用户任何操作,只要开机上网,就能在电脑中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序2.漏洞影响目前已知受影响的windows版本包括但不限于:Windows ...
payload-dumper-win64
11-13
标题“payload-dumper-win64”暗示我们正在讨论一个针对Windows 64位系统的工具,其主要功能可能涉及数据提取或分析。在IT领域,"payload"通常指的是传输中的数据部分,尤其是那些具有特定目的,比如软件安装或系统...
payload_dumper-win64.zip
02-06
payload_dumper-win64.zip是一个看似针对Windows 64位操作系统的工具,主要与数据提取或分析相关。在IT行业中,"payload"通常指的是传输数据的实际内容,尤其是在网络安全和逆向工程领域。Payload Dumper可能是一个...
永恒之蓝复现kaliwin7
最新发布
07-19
### 恒之蓝漏洞复现:Kali Linux 攻击 Windows 7 #### 实验背景及目的 “永恒之蓝”(EternalBlue)是一种针对 Windows 操作系统的严重漏洞,该漏洞允许攻击者在无需用户交互的情况下实现远程代码执行。本次实验...
Windows 注册表操作 reg 命令详解
热门推荐
test_leader的博客
02-03 1万+
reg命令是Windows提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值。   1,reg add 将新的子项或项添加到注册表中   语法:reg add KeyName [/v EntryName|/ve] [/t DataType] [/s separator] [/d value] [/f]   参数   KeyName   指定子项的完全路径。对于远程计算机,请在\\ComputerName\PathToSubkey中的子项路径前包含计算机名称。忽略ComputerName会...
windows系统bat脚本注册表之reg命令总结
hljqfl的专栏
04-16 3627
对于远程计算机,请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。cmd /k reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL" /v Checkedvalue /t reg_dword /d 1 /f(显示隐藏的文件和文件夹)
批处理文件删除注册表数据
FantasyWind-奇风的悟道之地
04-24 2091
reg delete命令用于删除注册表数据,若不带/v参数,则删除整个目录(包括所有的项和子目录),如果指定了/v参数,则只删除对应的项。 /f参数用于屏蔽确认交互信息; 该命令还有两个参数: /ve 指定只可以删除为空值的项。 /va 删除指定子项下的所有项。使用本参数不能删除指定子项下的子项。
Win7利用NSA Eternalblue 永恒之蓝 和fuzzbunch工具实现dll注入 Win 7 64CN
Zyecho的博客
01-24 3379
Win7利用NSA Eternalblue 永恒之蓝 和fuzzbunch工具实现dll注入 Win 7 64CN 一、原理 1.Eternalblue可以利用SMB漏洞,结合Doublepulsar后,获取Windows 7 系统权限 2.漏洞存在环境 几乎所有开放455端口的Win系统 3. SMB 一个网络文件共享协议 二、实验准备 攻击机:win7 64 IP:192.168.226.128 靶机:win7 64 CN IP: 192.168.226.129 辅助攻击机:kali IP : 192.
探秘NSA的暗影工具箱:Fuzzbunch深度解析与应用指南
gitblog_00017的博客
06-01 455
探秘NSA的暗影工具箱:Fuzzbunch深度解析与应用指南 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在网络安全的深层领域,潜藏着一个源自美国国家安全局(NSA)的强大工具——Fuzzbunch。这个框架,正如其神秘背景一般,自Shadow Brokers泄露以来,一直是安全研究人员和黑客界热议的焦点。它是一个高度复杂的漏洞利用平台,集合了多种针对操作系统关键...
windows系统bat脚本命令总结之reg命令
YY007H的博客
11-30 1859
做了一段时间的bat脚本开发,bat脚本中有各种各样的命令跟传统的编程逻辑完全不同,本专栏会讲解下各种各式的命令使用方法。本篇文章讲解的是windows系统注册表操作命令"reg"。“reg” 是 Windows 操作系统中的一个命令行工具,用于操作 Windows 注册表。注册表是 Windows 操作系统中存储系统设置和配置信息的一个重要数据库。
linux运行fuzzbunch,方程式0day ETERNALBLUE复现之Empire &ampamp; Msfconsole下的she...
weixin_29292431的博客
05-10 207
在本文中我将为大家复现在前段时间被曝出的,方程式0day Eternalblue的利用过程。Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞。从涵盖的操作系统版本来看,Eternalblue针对的范围也非常广泛。从Windows XP到Windows Server 2012都为其攻击对象。而Windows 10和Windows Server 2016,...
Reg命令使用详解 批处理操作注册表必备
www.coderr.org
07-15 3754
首先要说明:编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据 只有在别无选择的情况下,才直接编辑注册表。注册表编辑器会忽略标准的安全措施,从而使得这些设置会降低性能、破坏系统,甚至要求用户重新安装Windows。可以利用“控制面板”或“Microsoft管理控制台(MMC)”中的程序安全更改多数注册表设置。如果必须直接编辑
命令行删除注册表项
stevenbill的博客
01-20 8781
运行 CMD reg add 增加 reg delete 删除 可以 你打 reg /? 来查询用法 也可以打 reg add /? 来查询分项目用法 ------------ 举例: 假如我要清除WinRAR的历史记录,可以新建个批处理文件(一行一行敲命令也行), 然后在里面加入如下文字: reg delete HKEY_CURRENT_USE...
reg命令
yingfox的专栏
12-05 2583
导读:   REG DELETE KeyName [/v ValueName | /ve | /va] [/f]   KeyName [//Machine/]FullKey   Machine 远程机器名 - 忽略当前机器的默认值。   远程机器上只有 HKLM 和 HKU。   FullKey ROOTKEY/SubKey   ROOTKEY [ HKLM | HKCU | HKCR |
清除、恢复桌面快捷方式小箭头
俎树振的博客
02-01 644
一.清除快捷方式小箭头 方法一: @echo off color 2 reg delete HKCR\lnkfile /v IsShortcut /f reg delete HKCR\piffile /v IsShortcut /f reg delete HKCR\InternetShortcut /v IsShortcut /f taskkill /f /im explorer.exe && explorer 方法二: reg delete “HKEY_LOCAL_MACHINE\SOFT
分析工具payload_dumper-win64压缩包文件解析
资源摘要信息:"payload_dumper-win64.zip" 从提供的文件信息来看,我们所能获取到的具体内容并不丰富。文件标题“payload_dumper-win64.zip”表明这是一个与“payload dumper”相关的压缩包文件,且是为64位Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值