关于程序员:漏洞考古之永恒之蓝ms17010复现总结

永恒之蓝简介

永恒之蓝（Eternal Blue）暴发于2017年4月14日晚，是一种利用Windows零碎的SMB协定破绽来获取零碎的最高权限，以此来管制被入侵的计算机。

甚至于2017年5月12日，不法分子通过革新“永恒之蓝”制作了wannacry勒索病毒，使全世界大范畴内蒙受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过领取高额的赎金能力复原出文件。

不过在该病毒进去不久就被微软通过打补丁修复。

SMB（全称是Server Message Block）是一个协定服务器信息块，它是一种客户机/服务器、申请/响应协定，通过SMB协定能够在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；

SMB协定工作在应用层和会话层，能够用在TCP/IP协定之上，SMB应用TCP139端口和TCP445端口。

首先客户端发送一个SMB negport 申请数据报，并列出它所反对的所有SMB的协定版本。

服务器收到申请音讯后响应申请，并列出心愿应用的SMB协定版本。如果没有能够应用的协定版本则返回0XFFFFH，完结通信。

协定确定后，客户端过程向服务器发动一个用户或共享的认证，这个过程是通过发送SessetupX申请数据包实现的。

客户端发送一对用户名和明码或一个简略明码到服务器，而后通过服务器发送一个SessetupX应答数据包来容许或回绝本次连贯。

当客户端和服务器实现了商量和认证之后，它会发送一个Tcon或TconX SMB数据报并列出它想拜访的网络资源的名称，之后会发送一个TconX应答数据报以示意此次连贯是否接管或回绝。

连贯到相应资源后，SMB客户端就可能通过open SMB关上一个文件，通过read SMB读取文件，通过write SMB写入文件，通过close SMB敞开文件。

破绽呈现在Windows SMB v1中的内核态函数srv!SrvOs2FeaListToNt在解决FEA(File Extended Attributes)转换时，在大非分页池(内核的数据结构，Large Non-Paged Kernel Pool)上存在缓冲区溢出。

函数srv!SrvOs2FeaListToNt在将FEA list转换成NTFEA(Windows NT FEA) list前会调用srv!SrvOs2FeaListSizeToNt去计算转换后的FEA lsit的大小。

而后会进行如下操作：

具体原理参考文末： NSA Eternalblue SMB 破绽剖析 - 360 外围平安技术博客

永恒之蓝是在 Windows 的SMB服务解决SMB v1申请时产生的破绽，这个破绽导致攻击者在指标零碎上能够执行任意代码。

通过永恒之蓝破绽会扫描凋谢445文件共享端口的Windows机器，无需用户任何操作，只有开机上网，不法分子就能在电脑和服务器中植入勒索软件、近程管制木马、虚构货币挖矿机等恶意程序。

指标主机 ->  Win7：192.168.11.136攻击机->  Kali：192.168.11.130

nmap --script smb-vuln* 指标主机IP

Meterpreter是Metasploit 的一个扩大模块，能够调用 Metasploit 的一些性能,对指标零碎进行更深刻的浸透，如获取屏幕、上传/下载文件、创立长久后门等

查看靶机过程：ps监控靶机桌面：run vnc截取靶机屏幕：screenshot获取靶机shell：shell在shell中可失常执行命令操作：增加/删除用户，更改明码，权限治理，写文件(留后门)。。。革除日志(清痕迹)：clearev

[13]NSA Eternalblue SMB 破绽剖析 - 360 外围平安技术博客:https://blogs.360.cn/post/nsa...

[14]MS17-010: EternalBlue’s Buffer Overflow in SRV Driver (trendmicro.com):https://www.trendmicro.com/en...

本文由mdnice多平台公布