当前位置:安全客 >> 知识详情

【技术分享】NSA泄露工具中的Dander Spiritz工具使用简易教程

2017-04-18 10:14:02 阅读:32581次 收藏 来源: MisterCh0c 作者:testwot

http://p6.qhimg.com/t01b77bc14774cc38ab.png

翻译:testwot

预估稿费:100RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


环境


攻击机:192.168.174.128   win7

目标机:192.168.174.130   win7 x64


Dander Spiritz工具使用简易教程


Dander Spiritz是NSA此次泄露的工具中那个类似MSF框架的工具(就是那个.jar文件),昨天看了一老外发的文章,现将搭建过程和过程中的我遇到的一些坑分享下(无技术含量,大佬勿喷):

1.运行:直接双击start.jar或者运行configure_lp.py也可以(直接start_lp.py会跳过一些设置)运行后如图

http://p1.qhimg.com/t01bc789bffb278e1d1.png

这里有个坑就是设置里面的Log Directory要设置为你使用fb.py过程中的某个工程名

http://p2.qhimg.com/t019375b314fa85d108.png

否则你在后面想进行start listening的时候程序会提示pc_listen不可用,运行完成后如图

http://p8.qhimg.com/t012f19423aac2129c8.png

2.生成木马:输入pc_prep命令就会一步步提示你怎么生成(目前看到的是这能生成dll和exe)

http://p7.qhimg.com/t01c108cb2b18836514.png

这里为了测试我们生成一个基于tcp的x64 exe文件(选7)

http://p1.qhimg.com/t01d8529820b005a980.png

http://p1.qhimg.com/t0127ca13434432a5d8.png

程序可以生成一key用于加密传输,如果是这里我们选默认2(如上图)

http://p4.qhimg.com/t01cc6c817b1c613ff4.png

FC还不清楚是什么东西,目测是跟域名上线相关的,这里我们选no。

3. 开启监听

http://p1.qhimg.com/t01d4e2f42f33b69fa4.png

如果自己生成key了就自己导入,设置完后start listening

http://p1.qhimg.com/t014ce3be00cf0a9092.png

把生成程序拷到目标机改完后缀运行,然后几秒后连接就回来了

http://p1.qhimg.com/t017ab783cf8563b708.png

回车yes后程序后会进行一些基本任务收集(需要一段时间)

http://p2.qhimg.com/t014c899788346b6f7e.png

到这,搭建运行就基本差不多了,你也可以用此次泄露工具中的Doublepulsar中的run dll模式去加载用Dander Spiritz生成的dll。


本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://medium.com/@MisterCh0c/a-quick-look-at-the-nsa-exploits-dander-spiritz-trojan-1b5428b0ee65

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
吃瓜群众 2017-05-21 21:19:30
回复 |  点赞

我也遇到了这个问题,后来才发现我下载的版本是比较早的版本,和后面公开的版本不一样,重新下载后好了

妇科圣手 2017-04-18 23:33:39
回复 |  点赞

请问有谁遇到过执行pc_prep命令时只提示Command completed successfully但是不显示任何选项的么

男科圣手 2017-04-22 22:45:00
回复 |  点赞

我遇到了 python运行成功 然后就没了

妇科圣手 2017-04-18 23:33:39
回复 |  点赞

请问有谁遇到过执行pc_prep命令时只提示Command completed successfully但是不显示任何选项的么

360U1352461099 2017-04-20 14:20:11
回复 |  点赞

请问在windows文件夹内,有个payloads文件夹,这里面的程序有什么作用?又是被谁调用的呢?

妇科圣手 2017-04-18 23:33:39
回复 |  点赞

请问有谁遇到过执行pc_prep命令时只提示Command completed successfully但是不显示任何选项的么

zhanggaoming1 2017-04-18 14:02:05
回复 |  点赞

成功运行~

网瘾患者 2017-04-18 12:24:33
回复 |  点赞

最后程序会提示

木有_钱 2017-04-18 11:56:45
回复 |  点赞

"把生成程序拷到目标机改完后缀运行"。请问博主:生成的程序文件名和路径是什么?

zhanggaoming1 2017-04-18 14:01:26
回复 |  点赞

找着了,thanks

网瘾患者 2017-04-18 12:24:33
回复 |  点赞

最后程序会提示

木有_钱 2017-04-18 11:56:45
回复 |  点赞

"把生成程序拷到目标机改完后缀运行"。请问博主:生成的程序文件名和路径是什么?

网瘾患者 2017-04-18 12:24:33
回复 |  点赞

最后程序会提示

木有_钱 2017-04-18 11:56:45
回复 |  点赞

"把生成程序拷到目标机改完后缀运行"。请问博主:生成的程序文件名和路径是什么?

木有_钱 2017-04-18 11:56:45
回复 |  点赞

"把生成程序拷到目标机改完后缀运行"。请问博主:生成的程序文件名和路径是什么?

查看更多