复现永恒之蓝

最新推荐文章于 2024-03-20 23:35:29 发布
最新推荐文章于 2024-03-20 23:35:29 发布
阅读量348 收藏
点赞数
文章标签: 网络 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caleb77/article/details/121948162
版权

一、漏洞介绍

1.何为永恒之蓝?

永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

2.什么是SMB协议?

SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口

3.SMB工作原理是什么?

     (1):首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。

     (2):协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。

      (3):当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。

      (4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。

恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

  • 漏洞原理

永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码。永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

  • 漏洞复现

1、环境搭建

在msdn下载Windows7的镜像,必须是没有安装补丁的镜像,否则可能会导致实验不成功,下载好镜像后到虚拟机里安装,安装好之后要把系统里的防火墙关闭。

  1. 使用工具

kalilinux 192.168.159.128(主机)

windows7 192.168.159.132虚拟机)

Metasploit框架(简称MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编 写的模板化框架,具有很好的扩展性,便于渗透测试人员开发,使用定制的工具模板。该工具有六个模块,分别为辅助模块(auxiliary)、渗透攻击模块(exploits)、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模块(nops)、编码器模块(encoders),其中msf为总模块,其他均为分支模块。

2、复现过程

  1. 首先使用 nmap 命令扫描局域网内的所有主机(因为ms17_010漏洞的最基本要求是需要开启445端口),这里使用nmap的最基本的扫描,直接命令后跟ip,nmap -sT 192.168.159.1/24(扫描整个局域网寻找存活主机并查看其开启的端口)。

 

  1. 对于开启了445端口的主机进一步分析,寻找系统为windows7的主机,使用nmap -sC -sV -O IP 来探测目标机器的操作系统。这里发现为win7系统,且开启445端口,可以直接进行攻击。

 

 

  1. 首先开启Metasploit框架,这是一款集合各种漏洞和后期利用工具的框架。

 

  1. 搜索ms17_010(永恒之蓝)漏洞,可以看到返回了四条数据,我们这里使用的是第1条进行攻击.

 

  1. use exploit/windows/smb/ms17_010 //使用永恒之蓝漏洞
  2. show options //显示所需要的参数
  3. 我们需要设置一个远程主机ip(被攻击主机)和一个自己电脑ip(作为监听),外加一个攻击载体,就可以进行攻击了(依次执行下边命令)。

 

 

  1. 利用成功,成功之后会出现下面的情况,在这里可以进行文件上传下载,获取截屏,获取密码,使用摄像头拍照,后门持久化等操作。

 

 

  • 漏洞修复

1、关闭445端口,445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉! 2017年10月,由于病毒"坏兔子"来袭,国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口 。

2、打开防火墙,安装安全软件,
3、安装对应补丁建议参考微软官方公告完成补丁安装,可暂时关闭135、139、445等不必要的服务器端口;使用腾讯御点终端安全管理系统的漏洞修复功能,及时修复系统高危漏洞;服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;推荐部署腾讯御界高级威胁检测系统检测可能的黑客攻击。该系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。

caleb77
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
浅记一次在kali中复现永恒之蓝
qq_64410217的博客
08-14 657
一名刚入坑的网安小白的简要学习分享
永恒之蓝
es0202的博客
05-13 5789
南昌大学计算机渣渣一枚,午睡时刷微博发现一则有关比特币病毒的消息快速扩散了出来,各高校校园网纷纷中招,cmcc也不能用,黑客凯文也推上了热搜。 昨晚就听说了校园网和cmcc中毒了,但是具体是个什么事不太清楚,今天中午猜发现是个病毒,好像大部分是win7用户?火速赶到朋友圈发现昨晚就有一个学长的同学电脑中了这个病毒,毕设是尴尬了,目前貌似没有解决方案,只能重装系统,依旧在给360硬广,让我一个没有装
永恒之蓝全过程复现
Zhaokangkang123的博客
02-09 6799
超详细永恒之蓝复现教程
MS17-010漏洞复现(带win7虚拟机安装,零基础)
m0_62584974的博客
08-13 7225
永恒之蓝漏洞复现(带win7虚拟机安装,零基础)
永恒之蓝漏洞复现(详细版)
最新发布
Zqinglele的博客
03-20 2986
matesploit框架(Matesploit Framework,MSF)是一个开源工具,由Ruby程序语言编写的模块化框架,主要为后端提供用来测试的端口(如控制台、Web、CLI)。常用为控制台接口,通过该接口可以访问matesploit框架的所有插件(如payloads、利用模块、post模块等),还可使用第三方程序的插件(如sqlmap、nmap等)。这下只需配置靶机IP地址、命名的管道、端口、线程数(后三个已经配置好了)成功发现可利用漏洞ms17-010,,扫描模块结束,接下尝试进行攻击。
永恒之蓝“ MS17_010
三天不打上房揭瓦的博客
09-04 434
前言:小编也是现学现卖,方便自己记忆,写的不好的地方还请包涵,也欢迎各位大佬多多批评指正。 MS17_010 “永恒之蓝”漏洞复现 靶场环境: win2007 、 kali 使用工具: MSF 前提条件: 1.win2007 开放了445端口且没有打补丁 2.kali 和 win2007 在同网段下 *============================================* 1.进入msf,使用search 搜素 MSF17_010的路径 sudo msfconsole search M
永恒之蓝复现
xdjxi的博客
03-07 350
一、基础知识介绍: 1.何为永恒之蓝永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。 2.什么是SMB协议? SM...
永恒之蓝复现(win7/2008)
Sylon的博客
08-26 3160
Kali对Windows2008/7的MS17010漏洞测试(MSF自带模块)  0x01 说明 其实这个MSF自带的exp模块还是挺让人伤脑筋的,因为它支持的OS并不是很多,也就Windows Server 2008和Win7能用一下,比他们版本低的xp/2003以及比他们版本高的8/2012都不可用,但是纯粹对于Win2008/7而言,这个方案还是比较方便的,毕竟...
0x20.第二十课 MetaSploit检测并复现永恒之蓝.pdf
06-24
### MetaSploit检测并复现永恒之蓝 #### 概述 本课程主要介绍如何使用MetaSploit框架来检测和复现著名的“永恒之蓝”(EternalBlue)漏洞。该漏洞是微软在2017年发布的MS17-010安全更新中修复的一个严重漏洞。该...
利用kali Linux复现永恒之蓝(MS17-010)漏洞
YRYUNO_1的博客
01-11 1904
复现永恒之蓝(ms17-010)漏洞,并利用此漏洞控制受害机器进行截屏和远程桌面操作。
python调用msfconsole全自动永恒之蓝攻击_使用Metasploit复现永恒之蓝攻击
weixin_39839410的博客
12-22 888
1.Metaspolit介绍Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具,并保持着频繁更新。被安全社区冠以“可以黑掉整个宇宙”之名的强大渗透测试框架。2.术语渗透攻击(Exploit):指由攻击者或渗透测试者利用一个系统、应用或服务中的安全漏洞,所进行的攻击行为。攻击载荷(Payload):...
samba服务的用法及原理
weixin_34067102的博客
11-11 1225
samba是架起windows和linux的桥梁,并且提供不同系统间的共享服务!samba的工作原理samba服务功能十分强大,这与其通信基于smb协议有关。smb不仅提供目录和打印机的共享,还支持认证,权限设置。在早期,smb运行于nbt协议上使用udp协议上的137,138端口及tcp协议的139端口。后期smb经过开发,可以直接运行tcp/ip协议,没有额外的nbt层,...
记一次MSF永恒之蓝入侵win7系统实验
weixin_62297109的博客
12-31 2973
MSF是渗透安全人员非常重要的,必须了解的一个软件,这次实验记录一些msf最基础最简单的用法和命令,希望对大家入门有所帮助
使用ms17-010对win7进行渗透(传说中的永恒之蓝
热门推荐
xiaopan233的博客
09-21 4万+
本实验在虚拟机环境下进行! 准备虚拟机两台: Kali Win7 64位 (要将防火墙关闭) 先看看两台机器的ip地址是多少 kali的ip是 192.168.0.102 win7的ip是192.168.0.101 接着进行端口扫描 使用kali的nmap工具进行扫描,在kali终端输入nmap –sS –sV –Pn 192.168.0.101即可进行扫描,-sS 是半开放扫...
网络安全】MS17-010“永恒之蓝”漏洞的利用
qq_45748133的博客
01-06 1万+
导语 最近学期末进行网络安全实训,老师要求每个小组选择一个方向进行研究,本篇将讲述“永恒之蓝”漏洞的简单利用。 一、实验原理 Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,电脑只要开机,攻击者就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 二、实验环境 三、实验记录 一次渗透的基本步骤 (1)启动kali虚机,进入root权限打开Metasploit渗透工具。 msfco
docker使用metasploit进行“永恒之蓝复现
qq_45031509的博客
07-13 741
docker使用metasploit进行“永恒之蓝复现
Metasploit的Docker安装及其Eternal Blue(永恒之蓝)渗透实现
Mi1k7ea
08-11 7744
在Docker上pull下来的msf是默认已带有ms17_010_eternalblue利用模块的,这里就简单地演示一遍该模块来获取win7的shell。 Pull并安装msf容器: 先查找docker上的Metasploit镜像: docker search metasploit 选择第一个pull就好: docker pull linuxkonsult/kali-metasp
MS17-010永恒之蓝复现
Goallegoal的博客
04-30 282
MS17-010永恒之蓝复现 MS17-010 当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时,存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。为了利用此漏洞,在多数情况下,未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包。 漏洞复现 msfconsole //进入msfconsole (me...
使用MSF复现永恒之蓝
11-27
为了使用MSF复现永恒之蓝漏洞,可以按照以下步骤进行操作: 1. 打开终端并启动msfconsole,输入以下命令: ```shell msfconsole ``` 2. 在msfconsole中,使用search命令搜索ms17-010漏洞: ```shell search ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值