系统漏洞复现与勒索病毒

已于 2024-06-27 16:05:28 修改
阅读量2.1k 收藏 29
点赞数 39
分类专栏: 信息安全 文章标签: 安全 web安全 网络
于 2024-06-25 17:13:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldfish8848/article/details/139945759
版权

知识点:SMB漏洞介绍、漏洞复现流程、勒索病毒攻击与防护

渗透测试相关:
基本概念:

渗透测试就是利用我们所掌握的渗透知识,对网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵!

相关阶段如下:范围界定—>信息搜集—>目标识别—>服务枚举(爆破—>漏洞映射—>社会工程学(撞库))—>漏洞利用—>权限提升—>访问维护—>文档报告

渗透测试分为 白盒测试 和 黑盒测试
白盒测试就是在知道目标网站源码和其他一些信息的情况下对其进行渗透,有点类似于代码分析
黑盒测试就是只告诉我们这个网站的url,其他什么都不告诉,然后让你去渗透,模拟黑客对网站的渗透

信息获取阶段:

IP地址:在不同的操作系统中,获取IP地址的方法各有不同。以下是一些常见操作系统中获取IP地址的基本命令:

  1. Windows:

    • 打开命令提示符(cmd)或PowerShell。
    • 输入 ipconfig 命令,这将列出所有网络适配器的IP地址。

  2. macOSLinux:

    • 打开终端。
    • 输入 ifconfig 或 ip addr命令,这将显示所有网络接口及其IP地址。

上图为Win11操作系统下:IPv4 地址是本机在局域网中使用的地址,用于局域网内的设备通信,表示本机地址为172.16.130.128

这些信息表明,该设备(用户名为zhaoheqian)正在使用Kali Linux操作系统,并且至少有一个以太网接口eth0连接到局域网中。IPv4地址172.16.130.129是动态分配的,并且有一个本地回环地址127.0.0.1用于本机内部通信。IPv6地址是链路本地地址,用于局域网内的设备自动配置地址。


使用ping命令可以链接对方主机(此处的win与kali均为虚拟机演示),例如用Windows去ping 172.16.130.129(Linux机地址)可以连通,反之也可,从回显信息中还可以看出一些其他信息,在此处暂时不做过多介绍。

NMAP扫描器:

手动识别工作量大且效率低,所以我们引入了NMAP漏洞扫描器


Nmap(Network Mapper)是一款功能强大的网络扫描工具,它被广泛用于网络发现和安全审核。以下是Nmap的一些主要功能和使用方式:

1. **主机发现**:Nmap可以通过发送网络探测包来确定网络中活跃的主机,这有助于识别哪些IP地址上有活动的设备。

2. **端口扫描**:Nmap可以扫描目标主机的开放端口,帮助确定哪些服务正在运行。它支持多种扫描技术,例如TCP扫描、UDP扫描、SYN/ACK扫描等。

3. **服务识别**:Nmap能够识别目标主机上运行的具体服务和应用程序的版本号,这有助于了解可能存在的漏洞和弱点。

4. **操作系统检测**:Nmap尝试检测目标主机的操作系统类型和版本,为渗透测试提供信息。

5. **脚本扫描**:Nmap支持脚本扫描,允许用户执行自定义脚本以进行深入的信息收集和安全审计。

6. **版本检测**:Nmap可以检测目标系统上运行的服务的版本信息,有助于确定可能存在的已知漏洞和安全问题。

7. **输出格式**:Nmap可以生成多种输出格式,包括文本、XML、JSON等,便于进一步分析和报告。

在使用Nmap时,应该遵循适用的法律和道德准则,确保合法和合规的使用。例如,进行快速扫描可以使用命令 `nmap <IP地址>`,而扫描存活主机但不扫描端口可以使用 `nmap -sP <IP地址>/<子网掩码>`。

Nmap的使用非常灵活,它提供了多种参数和选项来定制扫描过程,例如使用 `-p` 参数来指定端口,或者使用不同的扫描技术如 `-sS`(TCP SYN扫描)和 `-sT`(TCP connect扫描)。

此外,Nmap还具备绕过防火墙和欺骗技术,例如使用 `-D` 参数来掩盖真实IP地址,或者使用 `--spoof-mac` 来伪装MAC地址。

nmap -s
最低0.47元/天 解锁文章
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
kafka 客户端连接测试问题
weixin_41565755的博客
10-02 3313
1、producer close, err: kafka: client has run out of available brokers to talk to (Is your cluster reachable?) 未开放端口,关闭防火墙或者开发指定端口(9092) 2、send msg failed, err: dial tcp [::1]:9092: connectex: No connection could be made because the target ...
让nmap为你的操作系统护航
m0_58231750的博客
05-12 1379
nmap最基本最核心的功能是端口扫描,通过端口扫描就可以开始你的神操作。今天我带领你用nmap来为你的操作系统护航吧! 准备条件: 服务方:kali 服务对象:windows10系统 一. kali要能ping通windows10。 二.nmap端口扫描,找到危险端口或可疑端口(可能是木马)。 我用的是全端口扫描,3389端口是危险端口,可关闭此端口。​​​​ ...
复现永恒之蓝漏洞详细过程
最新发布
Kangyan6的博客
03-12 423
如果主机开放了445端口,只要开机上网,攻击者就可以向目标系统发送一个包含恶意数据的SMB请求,当目标系统接收到这个请求后,SMB服务在处理过程中,由于没有正确验证数据长度,导致内存越界读取和写入,攻击者利用这个内存处理错误,将恶意代码注入到目标系统的内存中,从而实现远程控制目标系统。永恒之蓝是指2017年,某个黑客团体公布一大批网络攻击工具,其中包含“永恒之蓝”工具,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,导致多个国家以及中国内多个企业内网中招,被勒索支付高额赎金才能解密恢复文件。
勒索病毒“WannaCry”复现
Lemon's blog
10-20 5559
漏洞简介 永恒之蓝利用Windows系统的SMB漏洞可以获取系统的最高权限,然后通过恶意代码扫描开放445端口的Windows系统;只要是被扫描到的Windows系统,只要开机上线,不需要用户进行任何操作,即可通过共享漏洞上传wannacry勒索病毒,远程控制木马等恶意程序。 漏洞复现复现过程中需要先做好防护,以免造成真机感染病毒,那就GG了 ...
GandCrab5.2勒索病毒复现
m0_62574258的博客
06-24 713
病毒行为总结:首次执行时,会生成勒索ID,遍历计算机所有文件,对非空文件进行加密,生成随机字符串后缀,并在同级目录下生成勒索信(-MANUAL.txt),并更换桌面壁纸为特定壁纸,会显示受害主机的用户名。步骤3 运行病毒程序,然后再次打开test目录,可以看到除了空文件,所有文件文件都被加了后缀naeluc,无法打开,且说明该病毒不会加密空文件,因为空文件没有价值。步骤5 使用虚拟机的快照功能恢复初始状态,再运行病毒程序,发现结果一样,非空文件都被加了后缀,且跟刚刚后缀不一样,说明后缀是随机生成的。
复现勒索病毒WannaCry过程
mulincong的博客
05-23 558
复现勒索病毒WannaCry过程
勒索病毒“WannaCry”之复现过程(永恒之蓝)
weixin_40950781的博客
08-09 8871
勒索病毒“WannaCry”复现(永恒之蓝)1.漏洞简述2.漏洞复现2.1复现环境2.3复现过程2.3.3 开始攻击3.结语4.防范 1.漏洞简述 “永恒之蓝”利用Windows系统的SMB漏洞获取系统的最高权限,该工具通过恶意代码扫描开放445端口的Windows系统;被扫描到的Windows系统,只要开机上线,不要要用户进行任何操作,即可通过共享漏洞上传wannacry勒索病毒,远程控制木马等...
73.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读_网络_杨秀璋的专栏-CSDN博客1
08-03
网络安全自学篇】WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读 WannaCry勒索病毒,是2017年全球范围内造成重大影响的网络攻击事件之一,其主要利用了Windows操作系统中的 EternalBlue 漏洞进行...
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 9124
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
一次勒索病毒应急响应复盘
m0_59598029的博客
08-28 334
感染勒索病毒的用户最关注的往往就两点,我的业务什么时候能恢复上线,我的数据还能不能找回来?1、我要尽快恢复业务,大领一直在问什么时候可以恢复?【最关注】恢复业务的时间取决于何时能确认本次勒索病毒的感染范围、传播途径、抑制措施的落地,最重要的是您这边的数据是否有备份。2、我没有可用的数据备份,这些数据还能恢复嘛?【最关注】如果没有数据备份的话,需要根据勒索病毒的家族和版本情况判断是否能解密,目前大部分勒索病毒都无法破解。
利用NetBIOS协议漏洞的***
weixin_34032792的博客
03-24 993
Tips: HOSTS:提供主机名到IP地址的解析 LMHOSTS:提供NetBIOS名到IP地址的解析 NETWORKS:提供网络名到网络ID的解析 PROTOCOL:提供协议名到协议RFC编码的解析 SERVICES:提供服务名到协议名及端口号的解析当安装TCP/IP协议时,NetBIOS 也被Windows作为默认设置...
网安学途—Samba漏洞复现(CVE-2017-7494)
星虐
02-04 836
本文详细介绍了如何复现Samba漏洞(CVE-2017-7494)。首先,通过docker-compose up -d命令启动环境,并扫描Samba端口以获取服务信息。接着,使用Metasploit框架(msf)搜索并选择CVE-2017-7494漏洞模块,查看并设置相关参数,包括目标IP地址。最后,运行该模块成功获取目标系统的权限。整个过程展示了从环境搭建到漏洞利用的完整步骤,为安全研究人员提供了参考。
基于BT5R3-Metasploit完成Linux Metasploit靶机中的Samba服务漏洞复现
F14735971227的博客
01-20 822
back track5R3对Linux Metasploit中的samba服务漏洞的利用
Windows核弹级漏洞,Win7-Win11全部沦陷,最新情况来了!
热门推荐
IT界那些事儿
06-20 1万+
然而比较遗憾的是,目前我没能找寻到关于这方面的信息,因为这些都是微软内部的代码,并没有对外公开,想要深度逆向的话,可以结合内核级动态调试去跟踪里面的数据结构,这还需要花费不少的精力。所以大胆猜测,这个攻击可能是这样的:构造一个畸形的802.11格式的数据包给无线网卡,然后这WIFI驱动程序在进行处理的时候,操作不当,导致RCE的出现。首先根据官网的提示,这是一个跟WIFI相关的驱动程序漏洞,所以在Windows的驱动目录下,寻找可能跟wifi相关的驱动,还真让我找到了,就是这个。那这里到底是在检查什么呢?
windows11向日葵RCE复现(CNVD-2022-10270/CNVD-2022-03672)
人无名,便可潜心练剑。
05-24 1178
windows11向日葵远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672)
NetBIOS 漏洞的入侵防御
Sunny
01-18 1万+
1. 漏洞描述NetBIOS 即Network Basic Input Output System(网络基本输入输出系统),是一种应用程序接口(API),系统可以利用W I N S 服务、广播及L m h o s t 文件等多种模式将N e t B I O S 名解析为相应的I P 地址,从而实现信息通讯。在局域网内部使用N e t B I O S 协议可以非常方便地实现信息通讯,但是如果在网上,
复现勒索病毒攻击过程
01-04
### 安全研究中的勒索病毒攻击模拟 在受控环境中研究和复现勒索病毒攻击对于提升防护措施至关重要。这不仅有助于深入理解恶意软件的工作原理,还能验证现有安全策略的有效性并发现潜在漏洞。 #### 创建隔离测试环境 构建完全独立于生产系统的实验平台是首要任务。该环境应严格限制对外部网络的访问权限,并确保所有操作均不会影响实际业务运行。通过虚拟化技术可以快速搭建多个不同配置的操作系统实例用于测试目的[^1]。 #### 获取合法样本 仅限于已公开的研究资源或由官方渠道提供的教育用途样本进行分析工作。非法获取任何未授权版本都是违法行为,在开展此类项目前务必确认所使用的材料来源正当可靠。 #### 实施监控日志记录 在整个过程中启用详尽的日志功能来捕捉每一个行为细节,包括但不限于文件修改动作、注册表变更情况以及进程间通信状况等。这些信息将成为后续评估阶段不可或缺的数据支持。 #### 执行自动化脚本 编写Python脚本来自动执行一系列预定义的任务可以帮助研究人员更高效地完成重复性的劳动: ```python import os from datetime import datetime def log_event(event_description): timestamp = datetime.now().strftime("%Y-%m-%d %H:%M:%S") with open('experiment_log.txt', 'a') as file: file.write(f"[{timestamp}] {event_description}\n") # Example usage of logging function during experiment log_event("Starting ransomware simulation...") ``` 此代码片段展示了如何创建一个简单的函数`log_event()`用来记录时间戳及其对应的描述文字到指定路径下的文本文件中去[^3]。 #### 进行事后审查 一旦完成了预定范围内的探索活动之后,则需立即停止一切可能造成损害的行为并对整个流程进行全面总结反思。重点考察哪些环节暴露出薄弱之处需要改进加强;同时也要注意收集整理有价值的见解以便分享给同行们共同进步成长。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值