MS17-010漏洞复现
一、永恒之蓝简介
永恒之蓝 是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
二、漏洞原理
永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
三、SMB协议
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口
四、漏洞防御
1.禁用SMB1协议
2.打开Windows Update,或手动安装补丁
3.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
4.不要随意打开陌生的文件,链接
5.安装杀毒软件,及时更新病毒库
6.暂时关闭Server服务。
五、实验环境:Win7(靶机)和Kali Linux(攻击机)
1.准备靶机:Win7 64位 (IP: 192.168.239.128)–用ipconfig进行查询,实验前关闭win7防火墙(在win7的所有程序中的控制面板中设置)
2.准备攻击机:Kali 64位 (IP:192.168.239.131)–用ifconfig进行查询
3.保证两个虚拟机可以ping通
六、漏洞复现
1.检测靶机主机和端口
使用nmap对靶机端口服务进行扫描,检测目标主机是否存活,以及445端口开放情况
nmap 192.168.239.128
2.打开kail自带的Metasploit渗透工具
msfconsole
输入搜索永恒之蓝漏洞编号search ms17-010
3.使用第3个扫描器进行辅助扫描测试
并查看该漏洞模块所需的参数情况
设置靶机地址,进行攻击
4.进入0模块
并查看该漏洞模块所需的参数情况
5.设置靶机地址,进行攻击
显示meterpreter >表明攻击成功 两个电脑已经建立了一个会话连接
直接进入靶机getshell
6.可直接查看靶机的IP地址
7.上传wkbd.zip至靶机C盘
8.成功上传至靶机C盘
9.运行上传的挖矿木马