(CN) The recurrence of the Eternal Blue

永恒之蓝漏洞简介

永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

SMB协议简介

​ SMB(全称为Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

永恒之蓝漏洞原理简介

​ 永恒之蓝漏洞是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

永恒之蓝漏洞复现

Metasploit渗透工具简介

Metasploit框架(简称MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编写的模板化框架,具有很好的扩展性,便于渗透测试人员开发,使用定制的工具模板。该工具有六个模块,分别为辅助模块(auxiliary)、渗透攻击模块(exploits)、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模块(nops)、编码器模块(encoders),其中msf为总模块,其他均为分支模块。

Snipaste_2022-02-27_11-07-35

使用Nmap扫描靶机

首先需要扫描一下靶机是否开启了445端口以及查看其版本信息。故使用Kali中Nmap端口扫描工具进行扫描以得到靶机的445端口信息以及其系统版本。

image-20230203152043672

利用msf的auxiliary模块进行漏洞扫描验证

首先在控制台中键入msfconsole以启动Metasploit,之后键入search ms17-010(微软官网漏洞编号)搜索与永恒之蓝有关的内容。

image-20230203152140231

利用auxiliary/scanner/smb/smb_ms17_010进行验证是否存在永恒之蓝漏洞。

image-20230203152225447

通过查看Win7靶机的ip地址,来设置RHOST参数。

image-20230203152301129

配置完成后使用run命令启动,发现可以利用该漏洞,故可以利用攻击模块对其进行渗透攻击。

image-20230203152340500

利用msf的exploit模块进行渗透攻击

首先选择exploit模块,并用show options命令显示需要添加的参数。

image-20230203152400556

根据靶机ip地址设置RHOST后,使用exploit命令进行渗透攻击,并且成功进入。

image-20230203152419375

成功侵入Win7靶机后查看ip地址信息成功。

image-20230203152435255

尝试进入shell后发现出现未知字符,使用chcp 65001更改字符集后显示正常,可以远程使用靶机的shell来进行操作。

image-20230203152457288

成功入侵Win7靶机并尝试监听键盘

使用keyscan_start开始监听靶机后在靶机中输入文字,再使用keyscan_dump导出监听内容发现失败,故查看uid,发现此时用户为最高权限,而靶机中登录的用户为普通用户Kevin,因此导致无法监听成功。

image-20230203152522332

故尝试使用ps命令查看目标靶机的所有进程,并使用getpid命令查看当前进程号为1036;发现目标进程号为1400,由于当前用户为最高权限,故可以使用migrate 1400命令完成进程的迁移,再通过getuid来查看当前用户,发现此时为普通用户Kevin,因此可以开始监听键盘。

image-20230203152543953

通过keyscan_start命令再次开启键盘监听,并模拟在靶机中输入账号密码等信息。

使用keyscan_dump命令导出监听内容,发现导出的监听内容为用户在靶机中输入时所有的键盘操作。

使用vnc开启远程桌面监控

image-20230203152648132 image-20230203152739439

使用msfvenom生成后门木马并进行远程控制

首先在控制台中运行代码生成木马文件。

image-20230203152824153

在实际操作中,往往需要将木马文件进行免杀处理后,与其他软件捆绑从而进行伪装,并将其发布到网络中供人们下载,从而成功在下载者的电脑中留下后门木马以达到远程控制的目的,但是鉴于目前笔者的能力有限,故生成木马后就直接通过文件传输的方法,将木马文件传入靶机中进行后续实验。

发现成功连接到靶机中,可以通过远程操控来控制该靶机。

image-20230203152900733
Outis Yang
Outis Yang
2024 Undergraduate in Cyberspace Security

My research interests include Internet of Vehicles(IoV), Penetration Testing and Security research.