漏洞簡介:Eternalblue通過 TCP 端口445和139來利用SMBv1和NBT中的遠程代碼執行漏洞,惡意代碼會掃描開放445文件共享端口的windows機器,無需用戶任何操作,只要開機上網,就能執行惡意操作。
SMB一開始的設計是在NetBIOS協議上運行的,而NetBIOS本身則運行在NetBEUI、IPX/SPX或TCP/IP協議上。
NetBIOS 使用下列端口:UDP/137(NetBIOS 名稱服務)、UDP/138(NetBIOS 數據報服務)、TCP/139(NetBIOS 會話服務);SMB 使用下列端口:TCP/139、TCP/445。 #NetBIOS用於局域網內主機名發現。
漏洞環境:攻擊機(kali:192.168.131.145)靶機(windowsserver2008:192.168.131.130)
查看靶機開放端口netstat -an
使用永恆之藍掃描模塊對靶機進行掃描,提示漏洞存在。
打開msf5模塊
use auxiliary/scanner/smb/smb_ms17_010
利用漏洞利用模塊對漏洞進行利用,拿到權限。
在攻擊過程中抓取數據包分析如下。
kali向靶機發送一個SMB negotiate protocol request請求數據報,列出它所支持的SMB協議版本。
靶機回覆,通信建立。
kali向靶機發起一個用戶或共享的認證,這個過程是通過發送session setup request請求數據報實現的。可以看到kali使用匿名用戶登錄。
靶機回包,未出錯,表明匿名用戶成功登錄。
kali向靶機發送一個tree connect andx rerquest SMB數據報列出它想訪問網絡資源的名稱,圖示表示kali訪問目標機遠程連接。
靶機回包允許訪問。
成功建立連接後,可執行一系列操作。
追蹤流可發現kali機操作。
在靶機上找到日誌並進行分析。
顯示system權限用戶登錄,確定爲安全事件。