關(guān)鍵詞：Metasploit；漏洞利用；SMB；wireshark

中圖分類(lèi)號(hào)：TP309.7 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）25-0084-03

0 引言

Metasploit（MSF） 是一款功能非常強(qiáng)大的開(kāi)源漏洞檢測(cè)和利用工具，具有7個(gè)功能模塊，以幫助用戶實(shí)現(xiàn)漏洞檢測(cè)、漏洞利用、躲避安全工具、后滲透測(cè)試等功能[1]。

MS17-010 漏洞，也被稱(chēng)為“永恒之藍(lán)”漏洞，是Windows操作系統(tǒng)中的一種安全漏洞。攻擊者成功利用MS17-010漏洞后，可以獲得對(duì)目標(biāo)系統(tǒng)的完全控制權(quán)[2]。

本文基于Metasploit框架，實(shí)現(xiàn)MS17-010漏洞的利用，基于wireshark進(jìn)行抓包，結(jié)合SMB連接建立的3個(gè)階段，分析漏洞利用的詳細(xì)過(guò)程。

1 Metasploit

Metasploit 最初由HD Moore 于2003 年創(chuàng)建，Metasploit的第一個(gè)版本是一個(gè)ruby腳本集合，后來(lái)經(jīng)歷了許多版本更新，對(duì)計(jì)算機(jī)安全領(lǐng)域產(chǎn)生了深遠(yuǎn)影響，目前已經(jīng)成為一款功能非常強(qiáng)大的開(kāi)源漏洞檢測(cè)和利用工具。Metasploit 可以從官網(wǎng)https：//www.metasploit. com/獲取最新的版本。Metasploit在kali系統(tǒng)中默認(rèn)安裝。在Kali Linux 終端輸入“msfconsole”啟動(dòng)Metasploit，使用的版本是“6.0.30-dev”[3-4]。

Metasploit 在kali 中的路徑位于/usr/share/metasploit-framework/modules/，在這個(gè)路徑下可以看到Metasploit的主要模塊。

Exploit（利用）模塊：包含針對(duì)特定漏洞的利用代碼，允許滲透測(cè)試人員利用系統(tǒng)中的安全漏洞來(lái)獲取對(duì)目標(biāo)系統(tǒng)的控制。每一個(gè)Exploit模塊對(duì)應(yīng)一個(gè)具體漏洞的攻擊方法。

Payload（有效載荷）模塊：用于在目標(biāo)系統(tǒng)上執(zhí)行特定操作的代碼片段，如建立反向shell、執(zhí)行特定命令等。Metasploit提供了多種類(lèi)型的Payload，包括Me?terpreter和Shellcode。

Auxiliary（輔助）模塊：提供各種輔助功能，如信息收集、掃描和驗(yàn)證漏洞等任務(wù)。

Encoder（編碼器）模塊：用于對(duì)Payload進(jìn)行編碼，以避免被防火墻、入侵檢測(cè)系統(tǒng)等檢測(cè)到。

NOP（空指令）模塊：生成一系列的無(wú)操作指令，用于填充利用代碼中的空隙，以確保代碼的正確性和穩(wěn)定性。

Post（后期滲透）模塊：在取得目標(biāo)系統(tǒng)遠(yuǎn)程控制權(quán)后，進(jìn)行一系列的后滲透攻擊動(dòng)作，如獲取敏感信息、跳板攻擊等操作。

Evasion（逃避檢測(cè)）模塊：用于創(chuàng)建和部署逃避現(xiàn)代安全檢測(cè)和防御措施（如反病毒軟件、防火墻等）的模塊。

這些模塊共同構(gòu)成了Metasploit的強(qiáng)大功能集，使用戶能夠針對(duì)各種環(huán)境和系統(tǒng)執(zhí)行復(fù)雜的滲透測(cè)試和安全評(píng)估。Metasploit需要在合法和合規(guī)的環(huán)境中使用，并且需要有相關(guān)的授權(quán)和許可[5]。

2 漏洞利用（MS17-010）

MS17-010是一種針對(duì)Windows系統(tǒng)的SMBv1服務(wù)的緩沖區(qū)溢出漏洞。攻擊者可以通過(guò)發(fā)送特制的SMBv1請(qǐng)求來(lái)觸發(fā)該漏洞。攻擊者利用MS17-010漏洞的過(guò)程可以分為以下幾個(gè)步驟：

1）信息收集：攻擊者首先會(huì)使用網(wǎng)絡(luò)掃描工具（如nmap） 來(lái)探測(cè)目標(biāo)系統(tǒng)的開(kāi)放端口和服務(wù)。MS17-010 漏洞通常與SMBv1 服務(wù)相關(guān)，并監(jiān)聽(tīng)在TCP的445端口上。

在漏洞利用的實(shí)施過(guò)程中，采用虛擬化技術(shù)，搭建了漏洞利用模擬環(huán)境，模擬環(huán)境中的虛擬機(jī)鏡像、模擬主機(jī)類(lèi)型、操作系統(tǒng)和IP地址如表1所示[6]。

2） 漏洞探測(cè)：一旦確認(rèn)目標(biāo)系統(tǒng)開(kāi)放了SMBv1服務(wù)并可能存在MS17-010漏洞，攻擊者會(huì)使用專(zhuān)門(mén)的漏洞探測(cè)工具或Metasploit等滲透測(cè)試框架來(lái)進(jìn)一步驗(yàn)證漏洞的存在。

在Metasploit中，攻擊者可以利用MS17-010的掃描模塊auxiliary/scanner/ smb/smb_ms17_010，配置目標(biāo)主機(jī)的IP地址等信息，然后運(yùn)行掃描來(lái)確認(rèn)漏洞是否存在，并探測(cè)操作系統(tǒng)版本，如圖1所示。

3） 漏洞利用：如果探測(cè)到目標(biāo)系統(tǒng)確實(shí)存在MS17-010漏洞，攻擊者會(huì)利用這個(gè)漏洞來(lái)執(zhí)行惡意代碼。這通常是通過(guò)發(fā)送一個(gè)精心構(gòu)造的SMBv1請(qǐng)求來(lái)完成的，該請(qǐng)求包含了能夠觸發(fā)緩沖區(qū)溢出的代碼。

當(dāng)目標(biāo)系統(tǒng)接收到這個(gè)惡意請(qǐng)求并嘗試處理時(shí)，由于存在MS17-010漏洞，它會(huì)導(dǎo)致緩沖區(qū)溢出，從而使攻擊者能夠在目標(biāo)系統(tǒng)的內(nèi)存中寫(xiě)入并執(zhí)行任意代碼。

下面使用metasploit框架中的模塊exploit/windows/smb/ms17_010_eternalblue來(lái)進(jìn)行漏洞利用和分析。

設(shè)置目標(biāo)IP地址，命令為set RHOSTS 目標(biāo)IP地址。設(shè)置攻擊載荷，如set payload windows/x64/meter?preter/reverse_tcp用于64位系統(tǒng)。使用exploit或者run 命令實(shí)施攻擊，攻擊效果如圖所示。Meterpreter ses?sion 1 opened （10.10.244.206： 4444 -> 10.10.244.172：49178） at 2024-06-05 10：29：09 +0800，說(shuō)明會(huì)話已經(jīng)建立成功，拿到靶機(jī)的shell，如圖2所示。

4） 后滲透階段：攻擊者成功利用MS17-010漏洞后，可以獲得對(duì)目標(biāo)系統(tǒng)的完全控制權(quán)。他們可以執(zhí)行各種惡意操作，如：捕獲屏幕圖像、上傳/下載文件、創(chuàng)建新的管理員賬戶、啟用遠(yuǎn)程桌面服務(wù)、清除系統(tǒng)日志以掩蓋攻擊痕跡等。

攻擊者還可以利用這個(gè)漏洞來(lái)傳播惡意軟件，如WannaCry勒索軟件，它利用MS17-010漏洞進(jìn)行快速傳播，并對(duì)受感染的系統(tǒng)進(jìn)行加密勒索。

3 漏洞利用分析

SMB全稱(chēng)為服務(wù)消息塊（Server Message Block），它可以實(shí)現(xiàn)文件共享、打印機(jī)共享、串口共享等功能。SMB是一個(gè)C/S request-response請(qǐng)求響應(yīng)協(xié)議。建立SMB會(huì)話需要3個(gè)階段：1為協(xié)商階段，客戶端先使用SMB的協(xié)商協(xié)議（0X72） ，發(fā)送客戶端支持的認(rèn)證協(xié)議給服務(wù)器，服務(wù)器選擇其中的一個(gè)返回給客戶端；2為認(rèn)證階段，客戶端使用SMB會(huì)話設(shè)置請(qǐng)求數(shù)據(jù)包（0X73） 進(jìn)行認(rèn)證和登錄；3為連接階段，客戶端發(fā)送一個(gè)樹(shù)連接請(qǐng)求數(shù)據(jù)包（0X75） 并列出它想訪問(wèn)網(wǎng)絡(luò)資源的名稱(chēng)。一旦建立起連接，用戶可以進(jìn)行真正的對(duì)于目標(biāo)文件的操作，如打開(kāi)文件、讀寫(xiě)文件等文件操作。連接的過(guò)程如圖3所示。

在實(shí)施漏洞利用的同時(shí)，使用wireshark 進(jìn)行抓包，結(jié)合wireshark抓包結(jié)果、SMB連接過(guò)程和漏洞利用原理分析攻擊過(guò)程：

1） 首先攻擊機(jī)向靶機(jī)發(fā)送一個(gè)SMB協(xié)商協(xié)議請(qǐng)求Negotiate Protocol Request（0x72） 數(shù)據(jù)包，并在方言dia?lects字符串列表中列出攻擊機(jī)所支持的SMB協(xié)議版本。

SMB 定義特定協(xié)議版本的消息包集稱(chēng)作方言Dialect，為了適應(yīng) Microsoft SMB 協(xié)議日益增長(zhǎng)的功能，Microsoft SMB 協(xié)議消息數(shù)據(jù)包的列表不斷增長(zhǎng)，現(xiàn)在數(shù)以百計(jì)。每種方言由標(biāo)準(zhǔn)字符串標(biāo)識(shí)，例如圖中的“LANMAN 1.0”“LM1.2X002”“NT LANMAN 1.0”“NT LM 0.12”等，如圖4所示。

2） 靶機(jī)響應(yīng)一個(gè)SMB的協(xié)商協(xié)議響應(yīng)NegotiateProtocol Response（0x72） 數(shù)據(jù)包，給出選擇的SMB協(xié)議版本，圖中Slected Index 3：NT LM0.12表明本次實(shí)驗(yàn)中協(xié)商選擇的是索引為3的協(xié)議NTLM0.12，如圖5所示。

3） 協(xié)商成功之后，攻擊機(jī)向靶機(jī)發(fā)送一個(gè)會(huì)話設(shè)置請(qǐng)求Session Setup AndX Request（0x73） 數(shù)據(jù)包，會(huì)話的用戶身份為：anonymous匿名用戶，如圖6所示。

4） 靶機(jī)確認(rèn)身份后回復(fù)會(huì)話設(shè)置響應(yīng)SessionSetup AndX Response（0X73） 數(shù)據(jù)包同意本次連接，并返回靶機(jī)的系統(tǒng)信息windows 7 professional 7600等，如圖7所示。

5） 攻擊機(jī)向靶機(jī)發(fā)送一個(gè)樹(shù)連接請(qǐng)求Tree Con?nect AndX Request（0x75） 數(shù)據(jù)包，并給出訪問(wèn)網(wǎng)絡(luò)資源的具體路徑＼＼10.10.244.172＼IPC$，如圖8所示。

6） 靶機(jī)回復(fù)一個(gè)樹(shù)連接響應(yīng)Tree Connect AndXResponse（0x75） 數(shù)據(jù)包，同意訪問(wèn)資源，并且列出操作的權(quán)限，如READ access，WRITE access，APPEND ac?cess等，如圖9所示。

連接到相應(yīng)資源后，攻擊機(jī)即可進(jìn)行正常的網(wǎng)絡(luò)共享訪問(wèn)，如通過(guò)open SMB、read SMB、write SMB、close SMB實(shí)現(xiàn)打開(kāi)、讀取、寫(xiě)入、關(guān)閉共享文件。如可以查看靶機(jī)的文件、上傳文件、下載文件、創(chuàng)建用戶等操作。

在漏洞分析過(guò)程中，通過(guò)wireshark抓包結(jié)果，與SMB協(xié)議連接過(guò)程逐一對(duì)應(yīng)，深刻理解了MS17-010 漏洞利用的詳細(xì)過(guò)程。

4 總結(jié)與展望

本文利用虛擬化平臺(tái)搭建了漏洞利用環(huán)境，對(duì)實(shí)際漏洞利用環(huán)境進(jìn)行了模擬。基于Metasploit框架，利用Metasploit的攻擊exploit模塊，實(shí)現(xiàn)了MS17-010漏洞的利用，并基于抓包工具wireshark進(jìn)行抓包，通過(guò)抓到的SMB協(xié)議數(shù)據(jù)包，結(jié)合SMB連接建立的3個(gè)階段，分析MS17-010漏洞利用的具體過(guò)程，該分析方法同樣適用于其他漏洞利用的分析。