前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >漏洞考古之永恒之蓝(ms17-010)复现总结

漏洞考古之永恒之蓝(ms17-010)复现总结

作者头像
网络安全自修室
发布2022-12-06 13:50:09
4.2K0
发布2022-12-06 13:50:09
举报
文章被收录于专栏:网络安全自修室

永恒之蓝简介

永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。

甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。

不过在该病毒出来不久就被微软通过打补丁修复。

SMB协议

SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;

SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

SMB原理

首先客户端发送一个SMB negport 请求数据报,并列出它所支持的所有SMB的协议版本。

服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。

协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。

客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。

当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。

连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。

漏洞原理

漏洞出现在Windows SMB v1中的内核态函数srv!SrvOs2FeaListToNt在处理FEA(File Extended Attributes)转换时,在大非分页池(内核的数据结构,Large Non-Paged Kernel Pool)上存在缓冲区溢出。

函数srv!SrvOs2FeaListToNt在将FEA list转换成NTFEA(Windows NT FEA) list前会调用srv!SrvOs2FeaListSizeToNt去计算转换后的FEA lsit的大小。

然后会进行如下操作:

  1. srv!SrvOs2FeaListSizeToNt会计算FEA list的大小并更新待转换的FEA list的大小
  2. 因为错误的使用WORD强制类型转换,导致计算出来的待转换的FEA list的大小比真正的FEA list大
  3. 因为原先的总大小计算错误,导致当FEA list被转化为NTFEA list时,会在非分页池导致缓冲区溢出

具体原理参考文末:NSA Eternalblue SMB 漏洞分析 - 360 核心安全技术博客

漏洞危害

永恒之蓝是在 Windows 的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。

通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

漏洞复现

实验环境

代码语言:javascript
复制
目标主机 ->  Win7:192.168.11.136
攻击机->  Kali:192.168.11.130

完整过程

扫描目标主机是否存在该漏洞

代码语言:javascript
复制
nmap --script smb-vuln* 目标主机IP

实施攻击

代码语言:javascript
复制
Meterpreter是Metasploit 的一个扩展模块,可以调用 Metasploit 的一些功能,对目标系统进行更深入的渗透如获取屏幕、上传/下载文件、创建持久后门等

漏洞利用

代码语言:javascript
复制
查看靶机进程:ps

监控靶机桌面:run vnc

截取靶机屏幕:screenshot

获取靶机shell:shell

在shell中可正常执行命令操作:添加/删除用户,更改密码,权限管理,写文件(留后门)。。。

清除日志(清痕迹):clearev

漏洞防御

  • 禁用SMB1协议
  • 打开Windows Update,或手动安装补丁
  • 使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接
  • 不要随意打开陌生的文件
  • 安装杀毒软件,及时更新病毒库
参考资料

[13]NSA Eternalblue SMB 漏洞分析 - 360 核心安全技术博客:https://blogs.360.cn/post/nsa-eternalblue-smb.html#toc-772

[14]MS17-010: EternalBlue’s Buffer Overflow in SRV Driver (trendmicro.com):https://www.trendmicro.com/en_us/research/17/f/ms17-010-eternalblue.html

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-07-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 网络安全自修室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 永恒之蓝简介
    • SMB协议
      • SMB原理
        • 漏洞原理
        • 漏洞危害
        • 漏洞复现
          • 实验环境
            • 完整过程
              • 扫描目标主机是否存在该漏洞
                • 实施攻击
                  • 漏洞利用
                    • 漏洞防御
                      • 参考资料
                  相关产品与服务
                  云服务器
                  云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
                  领券
                  问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档