附加知识:
漏洞来源与背景:
这个漏洞最初是由NSA(美国国家安全局)发现的,但是他们发现漏洞他不讲,然后遭殃了吧。
后来 有一个黑客组织叫:Shadow Brokers (影子经纪人) 入侵了NSA下属的黑客组织,窃取了大量的工具。 并且将部分的黑客工具公开到互联网上拍卖,当时预期公开的价格是100W比特币(价值近5亿美元),但一直都没人买。 要知道黑客都是有脾气的, 一气之下 ,把工具公开免费的放出来。 然后EternalBlue就这样被公开出来了。 Shadow Brokers 里面的模块有很多,这里的永恒之蓝只是其中的一种。 之后的模块待我后期好好研究。
1. 漏洞描述
永恒之蓝 主要就是通过TCP端口(445)和139 来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器里进行一系列的危险操作。 如远程控制木马,获取最高权限等。
2. 影响范围
目前 windows xp 2003 2008 7 8 等受影响
3. 漏洞复现
3.1 搭建环境
kali攻击机1 (虚拟机) IP:192.168.1.2
windows 7 攻击机2 (虚拟机) IP:192.168.1.100
windows 2008 R2 靶机(虚拟机) IP:192.168.1.200
3.2 工具包
win 7 环境包:
1. python2.6 (官网有https://www.python.org/download/releases/2.6/)
2. pyWin32 v212 (官网也有:https://sourceforge.net/projects/pywin32/files/pywin32/Build%20212/)
3. shadow Brokers工具包:https://github.com/misterch0c/shadowbroker.git
3.3 工具安装
python2.6和pywin32 v212 我就不讲了, 尽然想复现这个漏洞,这个都会。。
shadow Brokers 得讲一下:
下载的压缩包直接解压到指定的文件夹里面(测试就推荐解压在桌面上)。 然后在子目录windows里面建立两个文件夹: listeningposts 和 logs 。 此外 修改windows里面的Fuzzbunch.xml文件。修改如图所示:
然后在其目录里面直接启用CMD。
输入fb.py来看看是否安装成功。如图所示显示了版本号那就说明没问题了。
3.4 正式开始
3.4.1 利用kali来制作一个木马。
按照如图所示的命令来制作一个dll的木马
LHOST kali的地址
-p 攻击载荷
LHOST kali IP 地址,也就是监听地址。
LPORT 端口号(随意)
-f 指定木马程序的格式
3.4.2 Fuzzbunch基本配置。
然后回到攻击机 win 7 , 开始对Fuzzbunch进行配置。
先把刚刚制作的木马复制到c盘某个文件夹里面,这里我就直接复制到C盘里。
然后按照如图所示的来,[?] 这个图标后面的就是用户选择的,根据如图提示来。
然后在输入use Eternalblue 来调用永恒之蓝模块
之后除了以下模块要选择,其它的通通回车默认
第一行选择 WIN72K8B2 第二行选择 FB
如下图所示攻击成功。
3.4.3 kali下 开启监听。
如图所示输入命令
监听中。。。
3.4.4 注入木马程序
回头win 7 , 利用Doublepulsar 模块来注入木马程序。 Doublepulsar (双脉冲星)
如图所示:
然后除了以下要选择以外,其余默认回车处理。
如图 所示,注入成功
3.4.5 kali反弹结果
然后 你台电脑就属于你的了。
防范:
1. 更新微软MS17-010漏洞补丁
2. 设置防火墙入站规则
3. 杀毒软件时刻开启