CVE-2017-0144介绍:
1.何为CVE-2017-0144?
CVE-2017-0144 既 永恒之蓝最早爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了勒索病毒,使全世界大范围内遭受了勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。
2.什么是SMB协议?
SMB是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
3.SMB工作原理是什么?
1)首先客户端发送一个SMBnegport请求数据报,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。
2)协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单的密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。
3)当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或或TconX SMB数据包并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据包以表示此次连接是否接收或拒绝。
4)连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。
利用原理:
永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
复现环境:
攻击机:kali-linux——192.168.1.11/24
靶场机:win7SP1——192.168.1.9/24
靶机环境:防火墙关闭、远程连接开启、卸载已经更新的补丁、然后重启电脑
漏洞复现
1.nmap扫描靶机端口
这里已经扫描到靶机开启了SMB服务的445端口
2.msf漏洞探测利用
msfconsole开启msf
search ms17_010查看漏洞又哪些模块
开始探测
run之后显示
总结
漏洞复现是一个排错的过程,要善于利用互联网这个工具进行排难。