永恒之蓝漏洞分析与防护技术
前言
自从上次快把HEVD栈溢出的博客写完,不小心手贱点关了,结果菜鸡的我一顿操作都没找回来,就不想写博客了(后来大佬说使用windbg附加,找到那块内存,dump出来就可以还原了,自己还是太年轻呀)。隔了一个月没写博客,就感觉很多东西记不住,还是简单写写吧。
2017年,网络安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来,臭名昭著的Shadow Brokers黑客组织一直活跃,并负责泄漏一些NSA漏洞,零时差和黑客工具。根据Wikipedia的报道,影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日,被证明是最具破坏性的。当天,Microsoft发布了一篇博客文章,概述了可用的补丁程序,这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月(2017年3月14日),Microsoft已发布安全公告MS17-010,该公告解决了一些未修补的漏洞,包括“ EternalBlue”漏洞所利用的漏洞。但是,许多用户未应用该补丁,并且在2017年5月12日遭到了历史上最大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后,引起了全球关注。这次袭击的主要受害者是全球知名的组织,包括医院和电信,天然气,电力和其他公用事业提供商。WannaCry爆发后不久,发生了其他严重的攻击,这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。
Shadow Brokers Group
Shadow Brokers组织以NSA泄漏而闻名,其中包含漏洞利用,零时差和黑客工具。该小组的第一个已知泄漏发生在2016年8月。在最近一次泄漏之后,Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中,第五次泄漏-包括许多网络攻击中使用的EternalBlue漏洞-创造了历史。
EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。
模拟环境:
1、使用GNS3配合VMware搭建三个模拟器,使用不同网段、不同网络适配器搭建,wind7使用 vm_net 1网卡模拟内网,KALL使用VM_net 8 模拟外网进行永恒之蓝漏洞攻击
漏洞利用原理
永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行。在Windows操作系统中,SMB服务默认是开启的,监听端口默认为445,因此该漏洞造成的影响极大。
漏洞利用过程
新版本的MSF默认已经集成了MS17-010漏洞的测试模块
我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段,一般都是设置外网服务器的网段地址,然后线程我们这边设置50。
证明确实存在永恒之蓝漏洞
那么接下来我们就得利用漏洞利用模块了,我们使用这个exploit/windows/smb/ms17_010_eternalblue模块
。我们得设置好对应的IP地址和反弹的Payload模块windows/x64/meterpreter/reverse_tcp
获取的直接是系统的最高权限
在meterpreter中我们输入hashdump命令,抓取当前系统中的用户散列值
防御永恒之蓝
1、禁用SMB1协议
2、打开Windows Update,或手动安装补丁
3、‘使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
4、不要随意打开陌生的文件
5、安装杀毒软件,及时更新病毒库
永恒之蓝漏洞分析与防护技术相关推荐
- 永恒之蓝漏洞分析与防范
漏洞利用原理 永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行.在Windows操作系统中,SMB服务默认是开启的,监听端口默认为4 ...
- 043 扫描技术,OpenVAS,AWVS,永恒之蓝漏洞复现
文章目录 扫描技术 扫描神器 资产发现 主机发现: 端口扫描: 网络漏洞扫描 OpenVAS的使用 AWVS的安装与使用 永恒之蓝漏洞复现 扫描技术 扫描 自动化提高效率 扫描神器 nmap,跨平台使 ...
- MS17-010(永恒之蓝)漏洞复现和分析
MS17-010(永恒之蓝)漏洞复现和分析 一.漏洞简介 1.永恒之蓝介绍: 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含&q ...
- 蠕虫病毒利用永恒之蓝漏洞传播 单位局域网受威胁最大
一. 概述 日前,火绒安全团队通过"火绒威胁情报系统"发现蠕虫病毒"Worm/Sharp"正在全网传播,其中在政府.企业.学校.医院等单位的局域网具有非常强的传 ...
- 【MS17-010 Eternalblue | 永恒之蓝漏洞复现 |CVE-2017-0144/5/6】
MS17-010 Eternalblue | 永恒之蓝漏洞复现 |CVE-2017-0144/5/6 文章目录 MS17-010 Eternalblue | 永恒之蓝漏洞复现 |CVE-2017-01 ...
- 【重要预警】“永恒之蓝”漏洞又现新木马 组成僵尸网络挖矿虚拟货币
WannaCry和UIWIX勒索软件在全世界掀起了轩然大波,但是利用"永恒之蓝"漏洞进行攻击的却不止这两个恶意软件.今日,亚信安全中国病毒响应中心发现了利用"永恒之蓝&q ...
- 永恒之蓝漏洞复现(ms17-010)
文章目录 一.永恒之蓝(Eternal Blue) 二.复现环境 三.复现过程 1.主机发现 2.进入MSF框架 3.使用ms17-010扫描模块,对靶机进行扫描 3.1使用模块 3.2查看模块需要配 ...
- 使用ms17-010永恒之蓝漏洞对win7进行渗透
使用ms17-010永恒之蓝漏洞对win7进行渗透 一.实验目的: 利用ms17-010永恒之蓝漏洞对win7进行渗透: 利用enable_rdp脚本开启远程桌面并创建用户: 关闭主机UAC防护策略并 ...
- 【常用工具】MSF使用教程(一)漏洞扫描与利用(以永恒之蓝漏洞复现为例)
目录 1 MSF框架 1.1 MSF简介 1.2 MSF五大模块类型 1.3 渗透攻击步骤 1.4 小结 2 实验简介 2.1 永恒之蓝简介 2.2 实验环境 2.3 实验目的 3 实验前准备 3.1 ...
最新文章
- ORA-12518,TNS:listener could not hand off client connection
- docker 安装部署 activemq ActiveMQ
- 动态规划算法实验报告_强化学习之动态规划算法
- 今天提交了一个patch开心,呵呵
- 【Kafka】KafkaConnection to 1002 was disconnected before the response was read
- SharePoint 已在此服务器场中安装 ID 为 XXXXXXXXX 的功能。请使用强制属性显式地重新安装此功能。解决方法...
- 卷积神经网络架构理解
- mysql binlog ignore db_MySQL binlog_ignore_db 参数最全解析
- jiba中文分词原理
- 浅谈计算机网络安全问题和对策
- 安卓开发:WebView下载文件
- 计算机WIN7动态硬盘分区,win7电脑硬盘分区的具体操作方法
- 【博客5】缤果LabView串口调试助手V2.0 (高级篇)
- 推荐三款自己使用过的鼠标手势插件
- Python实现熵值法
- 英雄联盟(多重背包)
- _WIN32_WINNT not defined
- 微信小程序开发踩坑经验——小蜗社群
- 全国应用计算机水平考试,全国计算机应用水平考试
- 成功解决Myeclipse2017破解时遇到的crack.bat文件闪退问题