關(guān)鍵詞：Metasploit；漏洞利用；SMB；wireshark

中圖分類號：TP309.7 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）25-0084-03

0 引言

Metasploit（MSF） 是一款功能非常強(qiáng)大的開源漏洞檢測和利用工具，具有7個功能模塊，以幫助用戶實現(xiàn)漏洞檢測、漏洞利用、躲避安全工具、后滲透測試等功能[1]。

MS17-010 漏洞，也被稱為“永恒之藍(lán)”漏洞，是Windows操作系統(tǒng)中的一種安全漏洞。攻擊者成功利用MS17-010漏洞后，可以獲得對目標(biāo)系統(tǒng)的完全控制權(quán)[2]。

本文基于Metasploit框架，實現(xiàn)MS17-010漏洞的利用，基于wireshark進(jìn)行抓包，結(jié)合SMB連接建立的3個階段，分析漏洞利用的詳細(xì)過程。

1 Metasploit

Metasploit 最初由HD Moore 于2003 年創(chuàng)建，Metasploit的第一個版本是一個ruby腳本集合，后來經(jīng)歷了許多版本更新，對計算機(jī)安全領(lǐng)域產(chǎn)生了深遠(yuǎn)影響，目前已經(jīng)成為一款功能非常強(qiáng)大的開源漏洞檢測和利用工具。Metasploit 可以從官網(wǎng)https：//www.metasploit. com/獲取最新的版本。Metasploit在kali系統(tǒng)中默認(rèn)安裝。在Kali Linux 終端輸入“msfconsole”啟動Metasploit，使用的版本是“6.0.30-dev”[3-4]。

Metasploit 在kali 中的路徑位于/usr/share/metasploit-framework/modules/，在這個路徑下可以看到Metasploit的主要模塊。

Exploit（利用）模塊：包含針對特定漏洞的利用代碼，允許滲透測試人員利用系統(tǒng)中的安全漏洞來獲取對目標(biāo)系統(tǒng)的控制。每一個Exploit模塊對應(yīng)一個具體漏洞的攻擊方法。

Payload（有效載荷）模塊：用于在目標(biāo)系統(tǒng)上執(zhí)行特定操作的代碼片段，如建立反向shell、執(zhí)行特定命令等。Metasploit提供了多種類型的Payload，包括Me?terpreter和Shellcode。

Auxiliary（輔助）模塊：提供各種輔助功能，如信息收集、掃描和驗證漏洞等任務(wù)。

Encoder（編碼器）模塊：用于對Payload進(jìn)行編碼，以避免被防火墻、入侵檢測系統(tǒng)等檢測到。

NOP（空指令）模塊：生成一系列的無操作指令，用于填充利用代碼中的空隙，以確保代碼的正確性和穩(wěn)定性。

Post（后期滲透）模塊：在取得目標(biāo)系統(tǒng)遠(yuǎn)程控制權(quán)后，進(jìn)行一系列的后滲透攻擊動作，如獲取敏感信息、跳板攻擊等操作。

Evasion（逃避檢測）模塊：用于創(chuàng)建和部署逃避現(xiàn)代安全檢測和防御措施（如反病毒軟件、防火墻等）的模塊。

這些模塊共同構(gòu)成了Metasploit的強(qiáng)大功能集，使用戶能夠針對各種環(huán)境和系統(tǒng)執(zhí)行復(fù)雜的滲透測試和安全評估。Metasploit需要在合法和合規(guī)的環(huán)境中使用，并且需要有相關(guān)的授權(quán)和許可[5]。

2 漏洞利用（MS17-010）

MS17-010是一種針對Windows系統(tǒng)的SMBv1服務(wù)的緩沖區(qū)溢出漏洞。攻擊者可以通過發(fā)送特制的SMBv1請求來觸發(fā)該漏洞。攻擊者利用MS17-010漏洞的過程可以分為以下幾個步驟：

1）信息收集：攻擊者首先會使用網(wǎng)絡(luò)掃描工具（如nmap） 來探測目標(biāo)系統(tǒng)的開放端口和服務(wù)。MS17-010 漏洞通常與SMBv1 服務(wù)相關(guān)，并監(jiān)聽在TCP的445端口上。

在漏洞利用的實施過程中，采用虛擬化技術(shù)，搭建了漏洞利用模擬環(huán)境，模擬環(huán)境中的虛擬機(jī)鏡像、模擬主機(jī)類型、操作系統(tǒng)和IP地址如表1所示[6]。

2） 漏洞探測：一旦確認(rèn)目標(biāo)系統(tǒng)開放了SMBv1服務(wù)并可能存在MS17-010漏洞，攻擊者會使用專門的漏洞探測工具或Metasploit等滲透測試框架來進(jìn)一步驗證漏洞的存在。

在Metasploit中，攻擊者可以利用MS17-010的掃描模塊auxiliary/scanner/ smb/smb_ms17_010，配置目標(biāo)主機(jī)的IP地址等信息，然后運行掃描來確認(rèn)漏洞是否存在，并探測操作系統(tǒng)版本，如圖1所示。

3） 漏洞利用：如果探測到目標(biāo)系統(tǒng)確實存在MS17-010漏洞，攻擊者會利用這個漏洞來執(zhí)行惡意代碼。這通常是通過發(fā)送一個精心構(gòu)造的SMBv1請求來完成的，該請求包含了能夠觸發(fā)緩沖區(qū)溢出的代碼。

當(dāng)目標(biāo)系統(tǒng)接收到這個惡意請求并嘗試處理時，由于存在MS17-010漏洞，它會導(dǎo)致緩沖區(qū)溢出，從而使攻擊者能夠在目標(biāo)系統(tǒng)的內(nèi)存中寫入并執(zhí)行任意代碼。

下面使用metasploit框架中的模塊exploit/windows/smb/ms17_010_eternalblue來進(jìn)行漏洞利用和分析。

設(shè)置目標(biāo)IP地址，命令為set RHOSTS 目標(biāo)IP地址。設(shè)置攻擊載荷，如set payload windows/x64/meter?preter/reverse_tcp用于64位系統(tǒng)。使用exploit或者run 命令實施攻擊，攻擊效果如圖所示。Meterpreter ses?sion 1 opened （10.10.244.206： 4444 -> 10.10.244.172：49178） at 2024-06-05 10：29：09 +0800，說明會話已經(jīng)建立成功，拿到靶機(jī)的shell，如圖2所示。

4） 后滲透階段：攻擊者成功利用MS17-010漏洞后，可以獲得對目標(biāo)系統(tǒng)的完全控制權(quán)。他們可以執(zhí)行各種惡意操作，如：捕獲屏幕圖像、上傳/下載文件、創(chuàng)建新的管理員賬戶、啟用遠(yuǎn)程桌面服務(wù)、清除系統(tǒng)日志以掩蓋攻擊痕跡等。

攻擊者還可以利用這個漏洞來傳播惡意軟件，如WannaCry勒索軟件，它利用MS17-010漏洞進(jìn)行快速傳播，并對受感染的系統(tǒng)進(jìn)行加密勒索。

3 漏洞利用分析

SMB全稱為服務(wù)消息塊（Server Message Block），它可以實現(xiàn)文件共享、打印機(jī)共享、串口共享等功能。SMB是一個C/S request-response請求響應(yīng)協(xié)議。建立SMB會話需要3個階段：1為協(xié)商階段，客戶端先使用SMB的協(xié)商協(xié)議（0X72） ，發(fā)送客戶端支持的認(rèn)證協(xié)議給服務(wù)器，服務(wù)器選擇其中的一個返回給客戶端；2為認(rèn)證階段，客戶端使用SMB會話設(shè)置請求數(shù)據(jù)包（0X73） 進(jìn)行認(rèn)證和登錄；3為連接階段，客戶端發(fā)送一個樹連接請求數(shù)據(jù)包（0X75） 并列出它想訪問網(wǎng)絡(luò)資源的名稱。一旦建立起連接，用戶可以進(jìn)行真正的對于目標(biāo)文件的操作，如打開文件、讀寫文件等文件操作。連接的過程如圖3所示。

在實施漏洞利用的同時，使用wireshark 進(jìn)行抓包，結(jié)合wireshark抓包結(jié)果、SMB連接過程和漏洞利用原理分析攻擊過程：

1） 首先攻擊機(jī)向靶機(jī)發(fā)送一個SMB協(xié)商協(xié)議請求Negotiate Protocol Request（0x72） 數(shù)據(jù)包，并在方言dia?lects字符串列表中列出攻擊機(jī)所支持的SMB協(xié)議版本。

SMB 定義特定協(xié)議版本的消息包集稱作方言Dialect，為了適應(yīng) Microsoft SMB 協(xié)議日益增長的功能，Microsoft SMB 協(xié)議消息數(shù)據(jù)包的列表不斷增長，現(xiàn)在數(shù)以百計。每種方言由標(biāo)準(zhǔn)字符串標(biāo)識，例如圖中的“LANMAN 1.0”“LM1.2X002”“NT LANMAN 1.0”“NT LM 0.12”等，如圖4所示。

2） 靶機(jī)響應(yīng)一個SMB的協(xié)商協(xié)議響應(yīng)NegotiateProtocol Response（0x72） 數(shù)據(jù)包，給出選擇的SMB協(xié)議版本，圖中Slected Index 3：NT LM0.12表明本次實驗中協(xié)商選擇的是索引為3的協(xié)議NTLM0.12，如圖5所示。

3） 協(xié)商成功之后，攻擊機(jī)向靶機(jī)發(fā)送一個會話設(shè)置請求Session Setup AndX Request（0x73） 數(shù)據(jù)包，會話的用戶身份為：anonymous匿名用戶，如圖6所示。

4） 靶機(jī)確認(rèn)身份后回復(fù)會話設(shè)置響應(yīng)SessionSetup AndX Response（0X73） 數(shù)據(jù)包同意本次連接，并返回靶機(jī)的系統(tǒng)信息windows 7 professional 7600等，如圖7所示。

5） 攻擊機(jī)向靶機(jī)發(fā)送一個樹連接請求Tree Con?nect AndX Request（0x75） 數(shù)據(jù)包，并給出訪問網(wǎng)絡(luò)資源的具體路徑＼＼10.10.244.172＼IPC$，如圖8所示。

6） 靶機(jī)回復(fù)一個樹連接響應(yīng)Tree Connect AndXResponse（0x75） 數(shù)據(jù)包，同意訪問資源，并且列出操作的權(quán)限，如READ access，WRITE access，APPEND ac?cess等，如圖9所示。

連接到相應(yīng)資源后，攻擊機(jī)即可進(jìn)行正常的網(wǎng)絡(luò)共享訪問，如通過open SMB、read SMB、write SMB、close SMB實現(xiàn)打開、讀取、寫入、關(guān)閉共享文件。如可以查看靶機(jī)的文件、上傳文件、下載文件、創(chuàng)建用戶等操作。

在漏洞分析過程中，通過wireshark抓包結(jié)果，與SMB協(xié)議連接過程逐一對應(yīng)，深刻理解了MS17-010 漏洞利用的詳細(xì)過程。

4 總結(jié)與展望

本文利用虛擬化平臺搭建了漏洞利用環(huán)境，對實際漏洞利用環(huán)境進(jìn)行了模擬?；贛etasploit框架，利用Metasploit的攻擊exploit模塊，實現(xiàn)了MS17-010漏洞的利用，并基于抓包工具wireshark進(jìn)行抓包，通過抓到的SMB協(xié)議數(shù)據(jù)包，結(jié)合SMB連接建立的3個階段，分析MS17-010漏洞利用的具體過程，該分析方法同樣適用于其他漏洞利用的分析。