Windows系统漏洞--任务（五）操作系统漏洞验证及加固-MS17_010漏洞利用与安全加固.pdf

Windows系统漏洞 ——MS17_010漏洞利用与安全加固 1 任务场景 目录 2 任务分析 CONTENTS 3 预备知识 4 实验步骤 5 总结思考 01 任务场景 任务场景 • 磐石公司邀请渗透测试人员对该公司内网进行渗透测试，小王已经发现了该公司有一台服务器 WindowsServer2008 ，通过扫描发现该服务器没有关闭445端口，同时通过抓包发现了该端口存在异常 流量，它利用了局域网电脑中普遍未修复的“永恒之蓝”漏洞，向局域网内所有电脑的445端口发送攻击 报文，对该公司用户造成极大威胁。 02 任务分析 任务分析 • EternalBlue达到其攻击目的事实上利用了3个独立的漏洞：第一个也就是 CVE-2017-0144被用于引发越 界内存写；第二个漏洞则用于绕过内存写的长度限制；第三个漏洞被用于攻击数据的内存布局。如果病 毒成功入侵或攻击端口，就会从远程服务器下载病毒代码，进而横向传播给局域网内其他电脑。同时， 该病毒还会在被感染电脑中留下后门病毒，以准备进行后续的恶意攻击，不排除未来会向用户电脑传播 更具威胁性病毒的可能性，例如勒索病毒等。 03 预备知识 预备知识 • 才刚刚修复的MS17-010漏洞后门利用程序–EternalBlue （从目前使用情况来看，相对比较稳定），该 漏洞利用程序影响Windows 7和Windows Server 2008大部分版本系统，无需认证权限就能实现系统 入侵控制；另一个为可以远程向目标控制系统注入恶意DLL或Payload程序的插件工具DOUBLEPULSAR。 综合利用这两个工具，入侵攻成功之后，我们可以实现对目标系统执行Empire/Meterpreter反弹连接 控制。在此过程中，我们还需要用到NSA使用的类似Metasploit的漏洞利用代码攻击框架FUZZBUNCH。 • Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)。 预备知识 • 包含如下CVE ： • CVE-2017-0143 严重 远程命令执行 • CVE-2017-0144 严重 远程命令执行 • CVE-2017-0145 严重 远程命令执行 • CVE-2017-0146 严重 远程命令执行 • CVE-2017-0147 重要 信息泄露 • CVE-2017-0148 严重 远程命令执行 • 漏洞描述 • SMBv1 server是其中的一个服务器协议组件。 • Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。 • 远程攻击者可借助特制的数据包利用该漏洞执行任意代码。 • 以下版本受到影响：Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1， Windows 7 SP1 ，Windows 8.1 ，Windows Server 2012 Gold和R2，Windows RT 8.1 ，Windows 10 Gold，1511和1607，Windows Server 2016 04 实验步骤 实验步骤 渗透机ip地址0 靶机ip地址172.16.1. 4 打开网络拓扑，点击启动选项，启动实验虚拟机 使用ifconfig和ipconfig命令分别获取渗透机和靶机的IP地址，使用ping命令进行网络连 通性测试，确保网络可达 实验步骤