永恒之蓝 (EternalBlue) 漏洞利用原理详解

永恒之蓝 (EternalBlue) 漏洞利用原理详解

1. 引言

最近正好在做基于“永恒之蓝”漏洞的内网渗透实验，遂写此文来记录一下对于其漏洞原理的理解。永恒之蓝 (EternalBlue) (编号：CVE-2017-0144) 是一个严重的网络安全漏洞，其利用了Windows的SMBv1版本协议。本文将分析永恒之蓝漏洞的原理，并结合C语言的代码示例进行解释。

2. SMB协议概述

SMB（Server Message Block）协议是一种网络文件共享协议，主要用于文件和打印机共享。SMB协议允许客户端通过网络访问服务器上的文件、目录和其他资源。在Windows中，SMB协议是默认启用的，用于提供文件共享服务。

3. 漏洞背景

永恒之蓝（CVE-2017-0144）是一个存在于SMBv1协议中的远程代码执行漏洞。该漏洞从美国国家安全局（NSA）开发的利用工具泄露后被广泛使用，成为大规模网络攻击的工具。攻击者利用该漏洞可以远程执行任意代码，从而使受害系统完全被控制。

4. 利用原理

4.1 内存处理漏洞

永恒之蓝漏洞的核心是SMBv1协议在处理特定网络请求时存在内存处理错误。具体来说，该漏洞源于SMB协议在处理特制的数据包时没有正确验证数据长度，导致内存越界读取和写入。

• 内存越界读取：SMB服务器在处理特定请求时，会读取超过预期长度的数据，导致泄露敏感信息。
• 内存越界写入：SMB服务器会将数据写入超出分配内存范围的地址，覆盖重要的内存区域，包括代码指针和返回地址。

4.2 特制的SMB请求

攻击者利用永恒之蓝漏洞，通过发送特制的SMB请求来触发内存处理错误。这些请求经过精心构造，以确保它们能够绕过常规的协议验证，直接触发SMB协议中的漏洞。主要包括：

• 会话请求：建立与目标服务器的SMB会话，初始化通信。
• 树连接请求：访问目标服务器的共享资源。
• 特制的NT Trans请求：这是关键部分，攻击者构造特定的NT Trans请求，包含恶意数据，用于触发内存处理错误。

4.3 堆喷射和缓冲区溢出

为了成功利用内存越界写入漏洞，攻击者通常使用堆喷射技术（Heap Spray）。堆喷射是一种攻击技术，通过向目标系统的内存中大量注入恶意数据，使得这些数据在内存中占据大量空间，以增加攻击成功的概率。

简单示例：

1. 堆喷射：发送大量特制的SMB请求，填充内存堆，使得恶意数据覆盖关键内存区域。

   #include <stdio.h>
   #include <stdlib.h>
   #include <string.h>
   
   // 定义堆喷射函数
   void spray_heap() {
       char *spray_data = (char *)malloc(1000);
       memset(spray_data, 'A', 1000); // 填充数据
       for (int i = 0; i < 1000; i++) {
           // 构造SMB请求并发送 (示意)
           send_smb_request(spray_data);
       }
       free(spray_data);
   }
   
   void send_smb_request(char *data) {
       // 发送SMB请求 (示意)
       printf("Sending SMB request with data: %s\n", data);
   }
   
   int main() {
       spray_heap();
       return 0;
   }
   

   spray_heap 函数分配并填充1000字节的内存，将其填充为字符 ‘A’，然后通过调用 send_smb_request 函数发送1000次填充数据的模拟SMB请求。send_smb_request 函数简单地打印包含填充数据的消息，这里仅仅做简单示意。

2. 缓冲区溢出：利用内存越界写入错误，将恶意代码写入内存中的关键位置（如函数指针或返回地址），重定向程序的执行流。

   #include <stdio.h>
   #include <stdlib.h>
   #include <string.h>
   
   void trigger_overflow() {
       char buffer[256];
       char *shellcode = "\x90\x90\x90..."; // NOP指令和恶意代码
       memset(buffer, 'A', 256); // 填充缓冲区
       memcpy(buffer, shellcode, strlen(shellcode)); // 写入恶意代码
       // 构造SMB请求并发送 (示意)
       send_smb_request(buffer);
   }
   
   void send_smb_request(char *data) {
       // 发送SMB请求的逻辑 (示意)
       printf("Sending SMB request with data: %s\n", data);
   }
   
   int main() {
       trigger_overflow();
       return 0;
   }
   

   trigger_overflow 函数首先定义了一个256字节的缓冲区并用字符 ‘A’ 填充，然后将包含NOP指令和恶意代码的 shellcode 写入缓冲区，最后通过调用 send_smb_request 函数发送已经构造好的请求。

4.4 远程代码执行

一旦内存中的关键区域被覆盖，攻击者就可以控制程序的执行流来执行注入的恶意代码。具体步骤简单示意如下：

1. 覆盖返回地址：通过内存越界写入，将返回地址覆盖为恶意代码的地址。

   #include <stdio.h>
   #include <stdlib.h>
   #include <string.h>
   
   void exploit_vulnerability() {
       char buffer[256];
       char *shellcode = "\x90\x90\x90..."; // NOP指令和恶意代码
       void *return_address = (void *)0xdeadbeef; // 恶意代码地址
       memset(buffer, 'A', 256); // 填充缓冲区
       memcpy(buffer, shellcode, strlen(shellcode)); // 写入恶意代码
       memcpy(buffer + 200, &return_address, sizeof(return_address)); // 覆盖返回地址
       // 构造SMB请求并发送 (示意)
       send_smb_request(buffer);
   }
   
   void send_smb_request(char *data) {
       // 发送SMB请求 (示意)
       printf("Sending SMB request with data: %s\n", data);
   }
   
   int main() {
       exploit_vulnerability();
       return 0;
   }
   

2. 执行恶意代码：当函数返回时，程序会跳转到恶意代码地址，从而执行攻击者控制的代码。

3. 远程Shell或Payload：攻击者通常会在恶意代码中打开一个反向Shell或执行其他Payload，以实现对目标系统的控制。