2017年5月12日，一场影响力滔天的网络攻击事件发生在各国内网中，对全球大型企业、机构政府产生了灾难性的打击。

　　很多人不知道什么是“Eternalblue”，一旦翻译成“永恒之蓝”，可能就清楚这是什么了。当年的4月14日，网络攻击团体影子经纪人公布了大批包括永恒之蓝在内的网络攻击工具，有人将永恒之蓝进行改造后制作了wannacry勒索病毒，在5月12日发送给了中国、整个欧洲国家、英国乃至俄罗斯的多个大型企业、学校校内网以及政府机构专网。

　　该病毒中包含恶意代码，能通过对开放了139和445共享端口的服务器进行扫描、利用NBT和SMBv1中的远程代码漏洞，从而使得用户一旦进行网络连接，不需要做任何操作就可以令攻击者植入远程控制木马、勒索软件、虚拟货币挖矿机等恶意程序。
 

　　复现环境

　　攻击机： kali

　　靶机：win server 2008 r2
 

　　复现过程

　　nmap对服务器IP进行端口扫描

　　经过扫描，发现该IP服务器开发了445端口

　　进入MSF框架

　　这里能够获得两个工具，其中auxiliary/scanner/smb/smb_ms17_010是永恒之蓝扫描模块，探测主机是否存在MS17_010漏洞;而exploit/windows/smb/ms17_010_eternalblue是永恒之蓝攻击代码，一般配合使用(前者先扫描，若显示有漏洞，再进行攻击)

　　使用ms17-010扫描模块，对靶机进行扫描

　　该模块不会直接在攻击机和靶机之间建立访问，它们只负责执行扫描，嗅探，指纹识别等相关功能以辅助渗透测试

　　msf> use auxiliary/scanner/smb/smb_ms17_010

　　查看模块需要配置的参数

　　右边Required为yes的选项，说明左边Current Setting这个项对应的需要填写，比如Rhosts

　　Rhosts参数的作用是对服务器IP或者IP范围进行探测(比如192.168.125.125-129.168.125.140 或者 192.168.1.0/24)

　　再次查看配置参数，执行扫描

　　显示服务器受到的漏洞攻击

上一篇: 靶机实验之SYN Flood攻击

下一篇: “永恒之蓝”网络攻击靶机复刻（二）