复现永恒之蓝

一、漏洞介绍

1.何为永恒之蓝？

永恒之蓝是指2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

2.什么是SMB协议？

SMB（全称是Server Message Block）是一个协议服务器信息块，它是一种客户机/服务器、请求/响应协议，通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；SMB协议工作在应用层和会话层，可以用在TCP/IP协议之上，SMB使用TCP139端口和TCP445端口

3.SMB工作原理是什么？

     （1）：首先客户端发送一个SMB negport 请求数据报，，并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求，并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH，结束通信。

     （2）：协议确定后，客户端进程向服务器发起一个用户或共享的认证，这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器，然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。

      （3）：当客户端和服务器完成了磋商和认证之后，它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称，之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。

      （4）：连接到相应资源后，SMB客户端就能够通过open SMB打开一个文件，通过read SMB读取文件，通过write SMB写入文件，通过close SMB关闭文件。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

• 漏洞原理

永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞，该漏洞导致攻击者在目标系统上可以执行任意代码。永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

• 漏洞复现

1、环境搭建

在msdn下载Windows7的镜像，必须是没有安装补丁的镜像，否则可能会导致实验不成功，下载好镜像后到虚拟机里安装，安装好之后要把系统里的防火墙关闭。

1. 使用工具

kalilinux 192.168.159.128（主机）

windows7 192.168.159.132（虚拟机）

Metasploit框架（简称MSF）是一个开源工具，旨在方便渗透测试，它是由Ruby程序语言编 写的模板化框架，具有很好的扩展性，便于渗透测试人员开发，使用定制的工具模板。该工具有六个模块，分别为辅助模块(auxiliary)、渗透攻击模块(exploits）、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模块(nops）、编码器模块(encoders)，其中msf为总模块，其他均为分支模块。

2、复现过程

1. 首先使用 nmap 命令扫描局域网内的所有主机（因为ms17_010漏洞的最基本要求是需要开启445端口），这里使用nmap的最基本的扫描，直接命令后跟ip，nmap -sT 192.168.159.1/24（扫描整个局域网寻找存活主机并查看其开启的端口）。

 

1. 对于开启了445端口的主机进一步分析，寻找系统为windows7的主机，使用nmap -sC -sV -O IP 来探测目标机器的操作系统。这里发现为win7系统，且开启445端口，可以直接进行攻击。

 

 

1. 首先开启Metasploit框架，这是一款集合各种漏洞和后期利用工具的框架。

 

1. 搜索ms17_010（永恒之蓝）漏洞,可以看到返回了四条数据，我们这里使用的是第1条进行攻击.

 

1. use exploit/windows/smb/ms17_010 //使用永恒之蓝漏洞
2. show options //显示所需要的参数
3. 我们需要设置一个远程主机ip（被攻击主机）和一个自己电脑ip（作为监听），外加一个攻击载体，就可以进行攻击了（依次执行下边命令）。

 

 

1. 利用成功，成功之后会出现下面的情况，在这里可以进行文件上传下载，获取截屏，获取密码，使用摄像头拍照，后门持久化等操作。

 

 

• 漏洞修复

1、关闭445端口，445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉! 2017年10月，由于病毒"坏兔子"来袭，国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口 。

2、打开防火墙，安装安全软件，
3、安装对应补丁建议参考微软官方公告完成补丁安装，可暂时关闭135、139、445等不必要的服务器端口；使用腾讯御点终端安全管理系统的漏洞修复功能，及时修复系统高危漏洞；服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；推荐部署腾讯御界高级威胁检测系统检测可能的黑客攻击。该系统可高效检测未知威胁，并通过对企业内外网边界处网络流量的分析，感知漏洞的利用和攻击。