永恒之蓝漏洞复现记录

2024-09-01 18:12
文章标签 漏洞 记录 复现 永恒

本文主要是介绍永恒之蓝漏洞复现记录,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

准备工作

实验环境搭建
  • 下载并安装VMware Workstation软件
  • 查看VMware的虚拟网卡和虚拟网络设置
  • 安装Windows虚拟机镜像和Kali linux虚拟机镜像
实验目的
  • 掌握Windows网络服务远程渗透攻击基本理论知识。
  • 掌握Windows漏洞及漏洞利用方法原理。
  • 掌握Windows网络服务远程渗透攻击防范措施。
  • 了解渗透测试软件Metasploit并掌握操作使用Metasploit进行Windows远程渗透攻击的方法。

知识点整理

漏洞与漏洞利用

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或者破坏系统。

漏洞利用是指用户从目标系统中找到容易攻击的漏洞,然后利用漏洞获得权限。

WannaCry勒索病毒

病毒指编织者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序编码。

2017年5月爆发的WannaCry病毒,是一种蠕虫式勒索病毒。

不法分子利用危险漏洞MS17-010“永恒之蓝”(Windows操作系统445端口存在过的漏洞)进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网或局域网其他机器,形成蠕虫感染大范围超快速扩散。

Metasploit

Metasploit渗透测试软件是附带数百个已知软件漏洞的专业级漏洞检测和攻击工具,通过它可以很容易的获取、开发并对计算机软件漏洞实施攻击,也可以帮助专业安全人士识别安全性问题、验证漏洞缓解措施。

Metasploit软件采用开发框架和模块组件的可扩展模型,模块组件是真正实施渗透攻击的代码,比如利用安全漏洞的Exploits模块、进行扫描和查看等其他辅助任务的Auxiliary模块等。

Metasploit软件提供四种不同的用户交互接口,其中MSF交互终端(MSFCONSOLE)比较常用。MSFCONSOLE可获得用户连接到主机的信息,从而利用漏洞,使得用户能启动渗透攻击目标系统。

MSFCONSLOE常用命令

search:搜索一个特定模块

use:选择使用特定的模块

run:启动一个非渗透测试模块

exploit:实施渗透攻击

set:配置各种类型模块中的详细参数

quit/exit:退出终端

show:查看每种类型模块的详细配置参数

实验过程

1)对Windows靶机上的MS17-010漏洞进行远程渗透攻击,获得目标主机的访问权

第一步:设置环境:

  • 确保Kali linux和Windows靶机都在同一个网络中。
  • 检查Windows靶机的IP地址。

查询Kali的IP地址:

image-20240826201310195

查询Windows7的IP地址:

image-20240826201444011

容易发现IP地址均为192.168.175.xxx ,判断两个计算机都处于同一个网络中。

使用Kali攻击机ping Windows靶机:

image-20240826203546904

使用Windows靶机ping Kali攻击机:

image-20240826202647377

证明两台计算机可以互相通信。

在Kali中启用Metasploit:

image-20240826203747781

搜索MS17-010漏洞的相关模块:

image-20240826212552503

选择合适的expolit模块:(这里选择的是ms17_010_eternalbue)

image-20240826212805242

设定RHOSTS和其他必要参数:

设定靶机的IP地址:

image-20240826213012056

设置payload(指的是在攻击过程中实际执行的代码或命令,这些代码或命令是嵌入在攻击载荷中的。当一个漏洞被成功利用时,payload 就会被执行,从而实现攻击者的目的。):

image-20240826214712328

windows:表明这个 payload 适用于 Windows 操作系统。

x64:表示这个 payload 是为 64 位的 Windows 操作系统设计的。如果目标是 32 位系统,你会使用类似 windows/meterpreter/reverse_tcp(去掉 x64)。

meterpreter:Meterpreter 是一个功能强大的 payload,它提供了一个高级命令行接口,供攻击者使用。它可以执行文件、截取屏幕截图、记录键盘输入、上传/下载文件等等。

reverse_tcp:这是一个通信方式。它表示 Meterpreter 会启动一个反向连接(reverse shell),也就是说,当漏洞被利用成功后,目标机器会尝试连接回攻击者的机器。这种反向连接方式通常用于绕过防火墙和 NAT(网络地址转换)。

设置攻击机的IP:

image-20240826214919503

执行攻击命令:

image-20240826215040333

可以看到我们最后获得了meterpreter会话,代表着攻击命令执行成功了。

2)了解计算机编码方式,操作修改靶机的编码方式

查看目标系统的编码设置:

image-20240826215233620

我们可以观察到目标系统为一个64位的Windows 7系统,使用简体中文,当前有两个用户登录。

接下来开始操作修改靶机控制台的编码方式:

我们可以先在原本的靶机上查看一下活动代码页:image-20240826220059404

936,发现是GBK编码的简体中文

当然,也可以在攻击机上查看:

execute -f cmd.exe -c -H -i

关于这行代码:

execute 用于在目标系统上启动一个进程

-f cmd.exe -f用于指定可执行文件,这里的含义是启动目标系统的命令行

-c 这个指令表示通道化,会将新启动的进程与Meterpreter会话连接起来

-H 用于隐藏新启动的进程窗口,使得程序在后台运行而不会在用户的屏幕上弹出命令行窗口

-i 用于将新启动的进程设置为交互模式,使得可以在攻击机上通过Meterpreter会话与进程交互而不是仅仅启动

image-20240826221102749

接下来将代码页更改为UTF-8(65001):

image-20240826221211940

3)操作实现对靶机进行屏幕监控、键盘监控、新增用户、重启。

屏幕监控:
  • 可以通过 screenshot 命令抓取目标机器当前屏幕的快照:

image-20240826222834809

​ 我们可以在提示路径下找到快照:

image-20240826222933521

  • 使用screenshare实时共享屏幕

    在meterpreter环境中执行screenshare命令,可以在浏览器中实时分享目标机器屏幕

    image-20240827171606883

    image-20240827171554866

键盘监控

发现同样存在system权限无法进行键盘监控的问题,首先将meterpreter会话迁移到一个低权限的进程上:

image-20240827225800594

然后启动键盘监控:

image-20240827225812852

靶机输入文本:

image-20240827225834342

攻击机查看:

image-20240827225855456

关闭键盘监控:

image-20240827225923695

新增用户

首先进入Meterpreter状态后,输入shell进入靶机命令行环境:
image-20240827134238671

在靶机命令行环境下创建新用户:
image-20240827134418817

将新用户提升为管理员权限:

image-20240827134623612

检测一下,成功:

image-20240827135559035

在靶机上查看:

image-20240827135909192

重启

首先尝试直接在Meterpreter状态下直接使用reboot命令:

image-20240827140153646

失败。原因:权限不足

尝试提升权限:

已经是system权限,依然提示权限不足:

image-20240827140417167

尝试在命令行环境下手动重启:

image-20240827160609616

访问被拒绝。

查看当前命令行用户权限:

image-20240827161440983

发现已经是管理员权限

进入命令行打开powershell:

image-20240827173317196

检查发现是因为system权限会拒绝重启操作,尝试将meterpreter迁移到一个低权限的进程当中:

image-20240827224915911

重新进行重启操作:

image-20240827225022584

image-20240827225052421

4)编写脚本实现ssh爆破。可使用paramiko、pexpect、pxssh等Python模块进行编写。但在ssh服务端将配置加密方式为非常用加密方式3des-cbc,端口为9981端口。

先尝试了攻击原本的Windows7靶机,Windows7没有发现自带的ssh服务受限于Win7贫弱的网络服务,忙了好久还是失败了,总是发生10054报错。

实验过程中遇到的问题与解决办法

1) 问题:在使用kali去ping windows7靶机时,出现了无法ping成功的现象

​ 关闭windows7的防火墙或者在防火墙高级设置中启用ICMP响应,实验过程中采用的是关闭了windows防火墙。

2)问题:在meterperter界面下运行run vnc时,成功建立了反向的TCP会话,但是VNC客户端连接失败。

image-20240826223117035

解决方法1:手动尝试重新连接——失败

image-20240826224107953

排查步骤:使用ps命令检查是否有VNC代理程序执行(在meterpeter界面下ps命令用于列出靶机上的所有正在运行的进程)

image-20240826224459884

发现了VNC的代理程序。

检查靶机端口:4545

netstat -an | findstr :4545

netstat 是一个用于显示网络连接、路由表、网络接口状态等信息的命令,适用于各种操作系统。

-a显示素有活动的TCP和UDP连接,以及计算机正在监听的端口。

-n以数字的形式显示地址和端口号,正常情况下会尝试解析并显示对应的主机名和服务名称,这样设置是为了加快命令执行速度,避免因为DNS解析失败导致的信息缺失。

|是管道操作符,用于将前一个命令的输出作为下一个命令的输入

findstr:4545findstr 是 Windows 下的一个命令行工具,用于在文本中搜索特定的字符串,在 Unix/Linux 系统中则为grep命令。这里实现了一个过滤器的作用。

image-20240826230043092

发现没有进程使用4545端口,代表了代理程序没有正确地通过4545端口进行会话。

有可能是VNC代理程序没有被正确启动,或者4545端口被占用或冲突,或者被防火墙阻止了

我们首先重新启动VNC代理程序:

image-20240826230557061

依然失败。

我们更换一个端口:

先执行background回到Metaspolit控制台,

运行set LPORT 5555将端口更换为5555:

image-20240826231746656

发现Metasploit都无法建立连接了

重新ping一下,发现不能够ping通,检查IP地址发现靶机在局域网下的IP地址发生了变化,是否会变化取决于局域网路由器的IPv4地址分配策略,靶机可能会有一段时间从网络中断开了连接。

重新使用nmap扫描靶机的开放端口:

image-20240826232511672

重新设定RHOSTS和端口:

image-20240826232751951

vnc代理成功运行并监听4545端口,准备接受连接:

image-20240826233052048

在准备连接时又发生了程序连接断开:
检查VNC代理日志:

通过shell进入目标系统命令行,并检查日志:
使用ls命令出现乱码:image-20240827122506588

使用Windows系统原生的dir命令:

image-20240827122651936

image-20240827123047035

日志显示 Windows Defender 多次尝试通过 Windows Update 来更新病毒定义,但均失败,并且返回错误代码 0x80072ee2

尝试失败,安心使用screenshare

补充:发现原因,未在VMWare中打开VNC设置,时间不充裕,故没有图像补充。

问题:VMware本地模式仅主机模式连接失败,桥接模式显示没有可用网卡

image-20240828030753817

检查设备管理器发现VMware相关网络适配器都为黄色感叹号,错误码为56

image-20240828030630856

查找资料后发现是因为之前删除过VMware,没卸载干净,有注册表残留。

本地win+R进入注册表:

image-20240828031250446

ctrl + f,输入 3d09c1ca-2bcc-40b7-b9bb-3f3ec143a87b,查找并删除,恢复正常:

image-20240828031704510

进入vmware虚拟网络编辑器:

image-20240828031826373

还原默认设置:

image-20240828031856399

问题解决。

SSH爆破中目标拒绝:

image-20240828032355961

发现是虚拟机未安装SSH服务:

image-20240828032614941

安装并启动 SSH 服务:

因为在虚拟机中下载过慢,在主机中下载并共享给虚拟机。

尝试使用RDP共享剪切板:使用 mstsc 命令打开远程桌面连接。

输入虚拟机的 IP 地址,连接到虚拟机。

image-20240828041001039

输入账户与密码后,连接成功:image-20240828041752546

通过剪切板复制:image-20240828042336298

安装SSH image-20240828043850554

思考:关于为什么使用管理员权限可以进行重启和键盘监控操作,但换成system权限却会被拒绝访问?

这个问题反映了现代操作系统严格的安全沙箱机制,隔离了不同权限的操作,使得即使是System账户,也会在某些情况下受限。

SYSTEM 账户是操作系统内部使用的一个特殊账户,通常用于运行操作系统级别的服务和进程。它拥有对系统资源的全面访问权限,但是通常不会在用户会话的上下文中运行,相比之下,管理员账户是在用户会话中运行的,更加适合执行涉及用户界面的操作。

Windows操作系统将操作分为用户模式和内核模式。SYSTEM 权限通常用于内核模式的操作,而涉及用户输入、输出的操作则在用户模式下进行。而重启和键盘监控操作的操作通常被视为用户模式操作,因此需要在特定的权限下执行。

总结来说dministrator是系统内置的管理员用户,一般用户会用到的相关都是以这个权限身份运行的,而System权限是系统本身的权限,只用一些系统进程会具有该权限,正常用户平时并不会接触到。

ystem权限却会被拒绝访问?

这个问题反映了现代操作系统严格的安全沙箱机制,隔离了不同权限的操作,使得即使是System账户,也会在某些情况下受限。

SYSTEM 账户是操作系统内部使用的一个特殊账户,通常用于运行操作系统级别的服务和进程。它拥有对系统资源的全面访问权限,但是通常不会在用户会话的上下文中运行,相比之下,管理员账户是在用户会话中运行的,更加适合执行涉及用户界面的操作。

Windows操作系统将操作分为用户模式和内核模式。SYSTEM 权限通常用于内核模式的操作,而涉及用户输入、输出的操作则在用户模式下进行。而重启和键盘监控操作的操作通常被视为用户模式操作,因此需要在特定的权限下执行。

总结来说dministrator是系统内置的管理员用户,一般用户会用到的相关都是以这个权限身份运行的,而System权限是系统本身的权限,只用一些系统进程会具有该权限,正常用户平时并不会接触到。

这篇关于永恒之蓝漏洞复现记录的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1127682

相关文章

Spring Boot 配置文件之类型、加载顺序与最佳实践记录

《SpringBoot配置文件之类型、加载顺序与最佳实践记录》SpringBoot的配置文件是灵活且强大的工具,通过合理的配置管理,可以让应用开发和部署更加高效,无论是简单的属性配置,还是复杂... 目录Spring Boot 配置文件详解一、Spring Boot 配置文件类型1.1 applicatio

MySQL INSERT语句实现当记录不存在时插入的几种方法

《MySQLINSERT语句实现当记录不存在时插入的几种方法》MySQL的INSERT语句是用于向数据库表中插入新记录的关键命令,下面:本文主要介绍MySQLINSERT语句实现当记录不存在时... 目录使用 INSERT IGNORE使用 ON DUPLICATE KEY UPDATE使用 REPLACE

Python 中的异步与同步深度解析(实践记录)

《Python中的异步与同步深度解析(实践记录)》在Python编程世界里,异步和同步的概念是理解程序执行流程和性能优化的关键,这篇文章将带你深入了解它们的差异,以及阻塞和非阻塞的特性,同时通过实际... 目录python中的异步与同步:深度解析与实践异步与同步的定义异步同步阻塞与非阻塞的概念阻塞非阻塞同步

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

Spring Boot中定时任务Cron表达式的终极指南最佳实践记录

《SpringBoot中定时任务Cron表达式的终极指南最佳实践记录》本文详细介绍了SpringBoot中定时任务的实现方法,特别是Cron表达式的使用技巧和高级用法,从基础语法到复杂场景,从快速启... 目录一、Cron表达式基础1.1 Cron表达式结构1.2 核心语法规则二、Spring Boot中定

国内环境搭建私有知识问答库踩坑记录(ollama+deepseek+ragflow)

《国内环境搭建私有知识问答库踩坑记录(ollama+deepseek+ragflow)》本文给大家利用deepseek模型搭建私有知识问答库的详细步骤和遇到的问题及解决办法,感兴趣的朋友一起看看吧... 目录1. 第1步大家在安装完ollama后,需要到系统环境变量中添加两个变量2. 第3步 “在cmd中

Spring Retry 实现乐观锁重试实践记录

《SpringRetry实现乐观锁重试实践记录》本文介绍了在秒杀商品SKU表中使用乐观锁和MybatisPlus配置乐观锁的方法,并分析了测试环境和生产环境的隔离级别对乐观锁的影响,通过简单验证,... 目录一、场景分析 二、简单验证 2.1、可重复读 2.2、读已提交 三、最佳实践 3.1、配置重试模板

在 Spring Boot 中使用异步线程时的 HttpServletRequest 复用问题记录

《在SpringBoot中使用异步线程时的HttpServletRequest复用问题记录》文章讨论了在SpringBoot中使用异步线程时,由于HttpServletRequest复用导致... 目录一、问题描述:异步线程操作导致请求复用时 Cookie 解析失败1. 场景背景2. 问题根源二、问题详细分

关于Spring @Bean 相同加载顺序不同结果不同的问题记录

《关于Spring@Bean相同加载顺序不同结果不同的问题记录》本文主要探讨了在Spring5.1.3.RELEASE版本下,当有两个全注解类定义相同类型的Bean时,由于加载顺序不同,最终生成的... 目录问题说明测试输出1测试输出2@Bean注解的BeanDefiChina编程nition加入时机总结问题说明

将sqlserver数据迁移到mysql的详细步骤记录

《将sqlserver数据迁移到mysql的详细步骤记录》:本文主要介绍将SQLServer数据迁移到MySQL的步骤,包括导出数据、转换数据格式和导入数据,通过示例和工具说明,帮助大家顺利完成... 目录前言一、导出SQL Server 数据二、转换数据格式为mysql兼容格式三、导入数据到MySQL数据