永恆之藍（EternalBlue）MS17-010

附加知識：

漏洞來源與背景：

這個漏洞最初是由NSA（美國國家安全局）發現的，可是他們發現漏洞他不講，而後遭殃了吧。

後來 有一個黑客組織叫：Shadow Brokers （影子經紀人） 入侵了NSA下屬的黑客組織，竊取了大量的工具。  而且將部分的黑客工具公開到互聯網上拍賣，當時預期公開的價格是100W比特幣（價值近5億美圓），但一直都沒人買。  要知道黑客都是有脾氣的，  一氣之下 ，把工具公開免費的放出來。  而後EternalBlue就這樣被公開出來了。   Shadow Brokers  裏面的模塊有不少，這裏的永恆之藍只是其中的一種。  以後的模塊待我後期好好研究。

 

1. 漏洞描述　　

永恆之藍 主要就是經過TCP端口（445）和139 來利用SMBv1和NBT中的遠程代碼執行漏洞，惡意代碼會掃描開放445文件共享端口的windows 機器，無需用戶任何操做，只要開機上網，不法分子就能在電腦和服務器裏進行一系列的危險操做。 如遠程控制木馬，獲取最高權限等。 

2. 影響範圍

目前 windows xp 2003 2008 7 8 等受影響

 

3. 漏洞復現

3.1 搭建環境

kali攻擊機1 （虛擬機）    　　　　  IP：192.168.1.2

windows 7 攻擊機2 （虛擬機） 　　IP：192.168.1.100

windows 2008 R2 靶機（虛擬機）   IP：192.168.1.200

3.2 工具包

win 7 環境包：

1. python2.6 （官網有https://www.python.org/download/releases/2.6/）

2. pyWin32 v212 （官網也有：https://sourceforge.net/projects/pywin32/files/pywin32/Build%20212/）

3. shadow Brokers工具包：https://github.com/misterch0c/shadowbroker.git

3.3 工具安裝

python2.6和pywin32 v212 我就不講了，  盡然想復現這個漏洞，這個都會。。

shadow Brokers 得講一下：

下載的壓縮包直接解壓到指定的文件夾裏面（測試就推薦解壓在桌面上）。  而後在子目錄windows裏面創建兩個文件夾： listeningposts 和 logs 。  此外 修改windows裏面的Fuzzbunch.xml文件。修改如圖所示：

而後在其目錄裏面直接啓用CMD。  

輸入fb.py來看看是否安裝成功。如圖所示顯示了版本號那就說明沒問題了。

 

3.4 正式開始

3.4.1 利用kali來製做一個木馬。

按照如圖所示的命令來製做一個dll的木馬

LHOST kali的地址 

-p  攻擊載荷

LHOST kali  IP 地址，也就是監聽地址。

LPORT 端口號（隨意）

-f 指定木馬程序的格式

 

 

 

 3.4.2 Fuzzbunch基本配置。

而後回到攻擊機 win 7 ， 開始對Fuzzbunch進行配置。

先把剛剛製做的木馬複製到c盤某個文件夾裏面，這裏我就直接複製到C盤裏。

而後按照如圖所示的來，[?]  這個圖標後面的就是用戶選擇的，根據如圖提示來。

 

 而後在輸入use Eternalblue 來調用永恆之藍模塊

以後除了如下模塊要選擇，其它的統統回車默認

第一行選擇 WIN72K8B2 第二行選擇 FB

 

以下圖所示攻擊成功。

3.4.3 kali下 開啓監聽。 

如圖所示輸入命令

監聽中。。。

3.4.4 注入木馬程序

回頭win 7 ， 利用Doublepulsar 模塊來注入木馬程序。    Doublepulsar (雙脈衝星）

如圖所示：

 

而後除了如下要選擇之外，其他默認回車處理。

如圖 所示，注入成功

 

3.4.5 kali反彈結果

而後 你臺電腦就屬於你的了。

 防範：

1. 更新微軟MS17-010漏洞補丁

2. 設置防火牆入站規則

3. 殺毒軟件時刻開啓