ms17-010：利用“永恒之蓝”攻陷一台计算机

2017-05-16 小白客 合天智汇

点击“合天智汇”关注，学习网安干货

我估摸着这两天大家都应该被一款老旧的勒索病毒刷爆了朋友圈，可能还有些同学不幸中招，那么是什么原因导致了这款勒索病毒如此猖狂？

这件事情还得从一个黑客组织说起，这个组织叫做Equation Group（方程式组织），这一黑客团伙与美国国家安全局（NSA）的关系一直十分密切。而且外界也普遍认为，Equation Group是美国国家安全局的一个下属部门。很多安全研究专家表示，Equation Group这一黑客组织所拥有的技术无论是从复杂程度还是从其先进程度来看，都已经超越了目前绝大多数的黑客团体，而且该黑客组织已经活跃了二十多年了。

然而，这个黑客组织被另一黑客团伙“The Shadow Brokers”（影子经纪人）给入侵了……(就是这么任性)。“The Shadow Brokers”（影子经纪人）自称他们从Equation Group手里拿到了很大一部分黑客工具，决定公开叫卖。

本以为能狠赚一笔，但实际上却没有人鸟他们，就是这么神奇。于是The Shadow Brokers决定公开一部分有价值的工具，其中“eternalblue”（永恒之蓝）就是其中之一（漏洞编号ms17-010）。那么永恒之蓝这个漏洞利用程序究竟牛X到什么地步呢？这么说吧，除了windows 10以外，windows系列的系统无一能够幸免。

于是乎，永恒之蓝漏洞利用程序+wannacry勒索软件程序造就了迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。

接下来，满足小白的好奇心，一起探究The Shadow Brokers公布的永恒之蓝漏洞利用程序，如何利用ms17-010攻陷一台64位windows 7。

探究环境

攻击机1(192.168.1.101)：
装有metasploit的linux

攻击机2(192.168.1.137)：
可以运行The Shadow Brokers工具箱的windows xp->python2.6+ PyWin32 v2.12

靶机(192.168.1.140)：
windows 7 x64（开放139、445端口）

探究目的

利用The Shadow Brokers工具箱中的永恒之蓝利用程序攻陷靶机

探究过程

1.在攻击机2上打开The Shadow Brokers工具箱，进入C:\shadowbroker-master\windows（以放在C盘根目录为例）

打开The Shadow Brokers工具箱1

打开The Shadow Brokers工具箱2

2.修改windows文件夹下的Fuzzbunch.xml文件，用我们本地系统相关路径把其中的第19行和第24行路径进行覆盖

使用文本文档打开Fuzzbunch.xml

原始路径

修改后的路径与目录当前的路径一致

修改后的路径

3. 用编辑器把fb.py源码的第72行“Listening post”相关部分注释掉

使用编辑器打开fb.py

image.png

4.在cmd下运行fb.py

在cmd下切换到fb.py所在目录

运行fb.py

5.设置要攻击的参数

设置要攻击的主机地址

设置xp的地址

不使用重定向

一路回车，直到输入项目名称处，输入项目名称

输入项目名称

继续回车

设置完成

6.使用“永恒之蓝”攻击：use Eternalblue，并设置相关参数

使用eternalblue

继续一路回车，直到选择模式选择1

选择模式1

继续一路回车，直至攻击完成

攻击完成

7.在攻击机1上使用metasploit生成dll后门，并设置木马回弹监听

故意按摩让女生“产生欲望”后发生关系，算性侵吗？

炸大瓜！君子固穷豪刷阿哲，锤“姓氏哥”！VIC哥凌晨豪刷俊雅！

抖音兜底？阿哲爆瓜违约金！晒大量流量卡，回应官方推流！

舞帝一哥被封！谁也没面子！阿哲回应外界舆论，放话：真金白银谁敢干！

吃仇恨票？小天天甩脸，秒挂舞帝！阿哲太权威了，仙洋KS喊话！白冰0人抢福袋遭群嘲！