永恒晴空,浸满蓝虹

"永恒之蓝漏洞复现"

永恒之蓝是曾经肆虐2017年互联网世界的高危病毒,严重影响了互联网企业和产业的发展,造成了巨大的经济损失和巨大的危害性。

什么是永恒之蓝病毒呢?

永恒之蓝(英语:EternalBlue)是美国国家安全局开发的漏洞利用程序,于2017年4月14日被黑客组织影子掮客泄漏。该工具利用445/TCP端口的文件分享协议的漏洞进行散播。

尽管微软于2017年3月14日已经发布过Microsoft Windows补丁修补了这个漏洞,然而在5月12日WannaCry勒索软件利用这个漏洞传播时,很多用户仍然因为没有安装补丁而受害。

由于WannaCry的严重性,微软于2017年5月13日为已超过支持周期的Microsoft Windows XP、Microsoft Windows 8和Windows Server 2003发布了紧急安全更新,以阻止其散布造成更大的危害。

2017年6月27日,有勒索软件冒充是Petya利用永恒之蓝漏洞在欧洲地区大肆传播,该勒索软件被命名为NotPetya。其带有较强的政治目的进行攻击即进行破坏而不是索要赎金,即便受害者支付赎金也不会得到任何密钥,因为NotPetya根本就没有编写密钥上传模块到控制者的服务器。此后真正的Petya作者公布解密密钥并声明与欧洲地区的攻击无关,但解密密钥仅可解密Petya而不支持NotPetya加密的文件。1

永恒之蓝漏洞是window7系统上存在的445端口漏洞,通过该漏洞的利用可以轻易入侵到存在该漏洞的windows7操作系统中进行权限获取,并远程控制windows7主机,进行各种各样的恶意操作。

下面简单演示一下:

漏洞复现

启动VMware虚拟机,启动Kali系统和Windows7系统

image108.png

image109.png

  • 使用ms17-010永恒之蓝漏洞对win7进行渗透

启动msf5对windows7进行永恒之蓝漏洞扫描

image110.png

客户机存在永恒之蓝漏洞,进行永恒之蓝漏洞的利用

image111.png

查看漏洞利用结果

image112.png

成功获取到目标机的终端,执行getuid命令,查看当前用户权限

image113.png

启用远程桌面并创建一个新的用户

image114.png

新建终端窗口(ctrl+shift+t),连接远程桌面

image115.png

登录到Windows7的远程桌面

image116.png
此种方法会明显引起目标机的注意,远程桌面调用出来可以进行各种图形化操作

关闭主机防护策略

回到msf控制台使用hashdump从SAM文件中导出密码哈希

image118.png

将刚刚创建用户的密码哈希记录下来

进入shell创建一条允许4444端口连接的防火墙规则

image119.png

关闭UAC防护措施

image120.png

开启Windows7的默认共享功能

image121.png

退出shell返回到meterpreter

image122.png

将会话保存到后台

image123.png

使用hash值登录目标机

image124.png

配置该模块参数,进行hash值登录

image125.png

查看获取到的登录权限

image127.png

获取到的是最高登录权限,系统权限

进行后门程序的配置

首先上传一个nc程序

image126.png

然后设置注册表,添加nc程序的启动项

image128.png

设置防火墙允许443端口访问网络

image129.png

然后进行重启

image130.png

转到windows7进去重启后的系统,启动cmd查看网络允许状态

image131.png

回到kali使用nc连接到windows7目标机

image132.png

断开nc连接

image133.png

使用msf5进行连接

image134.png

同样可以成功连接,使用Ctrl+c退出连接

image135.png

永恒之蓝漏洞的利用全流程大致就是这样的一个模式,永恒之蓝漏洞利用是非常方便,针对windows的445端口进行攻击的一个方式。通过永恒之蓝漏洞可以结合蠕虫病毒来构建勒索病毒。永恒之蓝病毒的危害由此可见,影响非常大。

参考

  1. 永恒之蓝-维基百科

闲聊到此为止,来喝杯茶可好?

Q.E.D.