【W(wǎng)eb滲透】永恒之藍,勒索病毒的力量來源
當前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
一:介紹1.什么是永恒之藍。 永恒之藍(Eternal Blue)爆發(fā)于2017年4月14日晚,是一種利用Windows系統(tǒng)的SMB協(xié)議漏洞來獲取系統(tǒng)的最高權(quán)限,以此來控制被入侵的計算機。甚至于2017年5月12日, 不法分子通過改造“永恒之藍”制作了wannacry勒索病毒,使全世界大范圍 2.SMB協(xié)議介紹。 SMB(ServerMessage Block)通信協(xié)議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協(xié)議,主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會話層(session layer)和表示層(presentation layer)以及小部分應(yīng)用層(application layer)的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 (Application Program Interface,簡稱API),一般端口使用為139,445。 3.SMB會話生命階段。 1) SMB協(xié)議協(xié)商(Negotiate) 在一個SMB還沒有開始的時候,由客戶端率先發(fā)出一個協(xié)商請求。在請求中,客戶端會列出所有它所支持協(xié)議版本以及所支持的一些特性(比如加密Encryption、持久句柄Persistent Handle、客戶端緩存Leasing等等)。而服務(wù)端在回復中則會指定一個SMB版本且列出客戶端與服務(wù)端共同支持的特性。 2)建立SMB會話(Session Setup) 客戶端選擇一個服務(wù)端支持的協(xié)議來進行用戶認證,可以選擇的認證協(xié)議一般包括NTLM、Kerberos等。按照選擇的認證協(xié)議的不同,這個階段可能會進行一次或多次SESSION_SETOP請求/回復的網(wǎng)絡(luò)包交換。 3)連接一個文件分享(Tree Connect) 在會話建立之后,客戶端會發(fā)出連接文件分享的請求。源于文件系統(tǒng)的樹形結(jié)構(gòu),該請求被命名為樹連接(Tree Connect)。以SMB協(xié)議的阿里云NAS為例,一般的SMB掛載命令為:net use z: \\XXX.nas.aliyuncs.com\myshare其中的“ \\XXX.nas.aliyuncs.com\myshare”便是我們將要連接的那個文件分享,也便是那棵“樹”。如果在“myshare”中創(chuàng)建有子目錄“abc”,那直接連接“abc”這棵子樹也是可以的:net use z: \\XXX.nas.aliyuncs.com\myshare\abc 4) 文件系統(tǒng)操作 在文件分享連接成功之后,用戶通過SMB客戶端進行真正的對于目標文件分享的業(yè)務(wù)操作。這個階段可以用到的指令有CREATE、CLOSE、FLUSH、READ、WRITE、SETINFO、GETINFO等等。 5)斷開文件分享連接(Tree Disconnect) 當一個SMB會話被閑置一定時間之后,Windows會自動斷開文件分享連接并隨后中止SMB會話。這個閑置時間可以通過Windows注冊表進行設(shè)定。當然,用戶也可以主動發(fā)起斷開連接請求。 6)終止SMB會話(Logoff) 當客戶端發(fā)出會話中止請求并得到服務(wù)端發(fā)回的中止成功的回復之后,這個SMB會話至此便正式結(jié)束了。 二.實驗環(huán)境。1.環(huán)境介紹。 2.工具介紹: Metasploit: Metasploit框架(簡稱MSF)是一個開源工具,旨在方便滲透測試,它是由Ruby程序語言編 寫的模板化框架,具有很好的擴展性,便于滲透測試人員開發(fā),使用定制的工具模板。該工具有六個模塊,分別為輔助模塊(auxiliary)、滲透攻擊模塊(exploits)、后滲透攻擊模塊(post)、攻擊載荷模塊(payloads)、空指令模塊(nops)、編碼器模塊(encoders),其中msf為總模塊,其他均為分支模塊。此工具集成在kali中。其中auxiliary/scanner/smb/smb_ms17_010是永恒之藍掃描模塊,exploit/windows/smb/ms17_010_eternalblue是永恒之藍攻擊代碼,一般配合使用,前者先掃描,若顯示有漏洞,再進行攻擊。 三.實驗步驟。 1.確定連通 用kali中ping命令測試。
2.查看靶機開放端口。 nmap -r 192.168.248.130
確定端口開放。 3.進入msf。 1)使用auxiliary模塊。 use auxiliary/scanner/smb/smb_ms17_010
2)查看需要配置的信息 show options
3)設(shè)置攻擊目標及端口
經(jīng)測試后發(fā)現(xiàn)存在漏洞。 4)使用exploit/windows/smb/ms17_010_eternalblue進行攻擊。 use exploit/windows/smb/ms17_010_eternalblue
至此漏洞利用結(jié)束。 三.永恒之藍防護1)禁用SMB協(xié)議 2)打開Windows Update,或手動安裝補丁 3)使用防火墻阻止445端口的連接,或者使用進/出站規(guī)則阻止445端口的連接 4)不要隨意打開陌生的文件 4)安裝殺毒軟件,及時更新病毒庫 該文章在 2024/12/16 11:03:56 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
