【W(wǎng)eb滲透】永恒之藍(lán),勒索病毒的力量來源
當(dāng)前位置:點(diǎn)晴教程→知識管理交流
→『 技術(shù)文檔交流 』
一:介紹1.什么是永恒之藍(lán)。 永恒之藍(lán)(Eternal Blue)爆發(fā)于2017年4月14日晚,是一種利用Windows系統(tǒng)的SMB協(xié)議漏洞來獲取系統(tǒng)的最高權(quán)限,以此來控制被入侵的計(jì)算機(jī)。甚至于2017年5月12日, 不法分子通過改造“永恒之藍(lán)”制作了wannacry勒索病毒,使全世界大范圍 2.SMB協(xié)議介紹。 SMB(ServerMessage Block)通信協(xié)議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協(xié)議,主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會(huì)話層(session layer)和表示層(presentation layer)以及小部分應(yīng)用層(application layer)的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 (Application Program Interface,簡稱API),一般端口使用為139,445。 3.SMB會(huì)話生命階段。 1) SMB協(xié)議協(xié)商(Negotiate) 在一個(gè)SMB還沒有開始的時(shí)候,由客戶端率先發(fā)出一個(gè)協(xié)商請求。在請求中,客戶端會(huì)列出所有它所支持協(xié)議版本以及所支持的一些特性(比如加密Encryption、持久句柄Persistent Handle、客戶端緩存Leasing等等)。而服務(wù)端在回復(fù)中則會(huì)指定一個(gè)SMB版本且列出客戶端與服務(wù)端共同支持的特性。 2)建立SMB會(huì)話(Session Setup) 客戶端選擇一個(gè)服務(wù)端支持的協(xié)議來進(jìn)行用戶認(rèn)證,可以選擇的認(rèn)證協(xié)議一般包括NTLM、Kerberos等。按照選擇的認(rèn)證協(xié)議的不同,這個(gè)階段可能會(huì)進(jìn)行一次或多次SESSION_SETOP請求/回復(fù)的網(wǎng)絡(luò)包交換。 3)連接一個(gè)文件分享(Tree Connect) 在會(huì)話建立之后,客戶端會(huì)發(fā)出連接文件分享的請求。源于文件系統(tǒng)的樹形結(jié)構(gòu),該請求被命名為樹連接(Tree Connect)。以SMB協(xié)議的阿里云NAS為例,一般的SMB掛載命令為:net use z: \\XXX.nas.aliyuncs.com\myshare其中的“ \\XXX.nas.aliyuncs.com\myshare”便是我們將要連接的那個(gè)文件分享,也便是那棵“樹”。如果在“myshare”中創(chuàng)建有子目錄“abc”,那直接連接“abc”這棵子樹也是可以的:net use z: \\XXX.nas.aliyuncs.com\myshare\abc 4) 文件系統(tǒng)操作 在文件分享連接成功之后,用戶通過SMB客戶端進(jìn)行真正的對于目標(biāo)文件分享的業(yè)務(wù)操作。這個(gè)階段可以用到的指令有CREATE、CLOSE、FLUSH、READ、WRITE、SETINFO、GETINFO等等。 5)斷開文件分享連接(Tree Disconnect) 當(dāng)一個(gè)SMB會(huì)話被閑置一定時(shí)間之后,Windows會(huì)自動(dòng)斷開文件分享連接并隨后中止SMB會(huì)話。這個(gè)閑置時(shí)間可以通過Windows注冊表進(jìn)行設(shè)定。當(dāng)然,用戶也可以主動(dòng)發(fā)起斷開連接請求。 6)終止SMB會(huì)話(Logoff) 當(dāng)客戶端發(fā)出會(huì)話中止請求并得到服務(wù)端發(fā)回的中止成功的回復(fù)之后,這個(gè)SMB會(huì)話至此便正式結(jié)束了。 二.實(shí)驗(yàn)環(huán)境。1.環(huán)境介紹。 2.工具介紹: Metasploit: Metasploit框架(簡稱MSF)是一個(gè)開源工具,旨在方便滲透測試,它是由Ruby程序語言編 寫的模板化框架,具有很好的擴(kuò)展性,便于滲透測試人員開發(fā),使用定制的工具模板。該工具有六個(gè)模塊,分別為輔助模塊(auxiliary)、滲透攻擊模塊(exploits)、后滲透攻擊模塊(post)、攻擊載荷模塊(payloads)、空指令模塊(nops)、編碼器模塊(encoders),其中msf為總模塊,其他均為分支模塊。此工具集成在kali中。其中auxiliary/scanner/smb/smb_ms17_010是永恒之藍(lán)掃描模塊,exploit/windows/smb/ms17_010_eternalblue是永恒之藍(lán)攻擊代碼,一般配合使用,前者先掃描,若顯示有漏洞,再進(jìn)行攻擊。 三.實(shí)驗(yàn)步驟。 1.確定連通 用kali中ping命令測試。
2.查看靶機(jī)開放端口。 nmap -r 192.168.248.130
確定端口開放。 3.進(jìn)入msf。 1)使用auxiliary模塊。 use auxiliary/scanner/smb/smb_ms17_010
2)查看需要配置的信息 show options
3)設(shè)置攻擊目標(biāo)及端口
經(jīng)測試后發(fā)現(xiàn)存在漏洞。 4)使用exploit/windows/smb/ms17_010_eternalblue進(jìn)行攻擊。 use exploit/windows/smb/ms17_010_eternalblue
至此漏洞利用結(jié)束。 三.永恒之藍(lán)防護(hù)1)禁用SMB協(xié)議 2)打開Windows Update,或手動(dòng)安裝補(bǔ)丁 3)使用防火墻阻止445端口的連接,或者使用進(jìn)/出站規(guī)則阻止445端口的連接 4)不要隨意打開陌生的文件 4)安裝殺毒軟件,及時(shí)更新病毒庫 該文章在 2024/12/16 11:03:56 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
