- 1超级账本与区块链应用场景_超级账本fabric的应用
- 2计算机二级考试软件 免费_免费做计算机二级的软件
- 3安装sql server 2017过程中弹出“安装 Microsoft Visual C++ 2015 Redistributable 时出错VS Shell 安装失败,退出代码为 1638”_§ 安装 microsoft visual c++ 2017 redistributable 时出错
- 4监督学习、无监督学习、强化学习概念_强化学习 惩罚函数
- 5深度学习课程资源整理_cutting edge 百度网盘
- 6一篇搞懂!LinuxCentos中部署KVM虚拟化平台(文字+图片)_开源虚拟化平台
- 7(C语言版)力扣(LeetCode)数组相关面试题OJ题解析_力扣c语言题库
- 8真 · 神经网络发明人福岛邦彦获奖,Schmidhuber、李飞飞点赞
- 9如何判断样本标注的靠谱程度?置信度学习(CL)简述
- 10如何实现管理者转身?
永恒之蓝 (EternalBlue) 漏洞利用原理详解_永恒之蓝漏洞
赞
踩
永恒之蓝 (EternalBlue) 漏洞利用原理详解
1. 引言
最近正好在做基于“永恒之蓝”漏洞的内网渗透实验,遂写此文来记录一下对于其漏洞原理的理解。永恒之蓝 (EternalBlue) (编号:CVE-2017-0144) 是一个严重的网络安全漏洞,其利用了Windows的SMBv1版本协议。本文将分析永恒之蓝漏洞的原理,并结合C语言的代码示例进行解释。
2. SMB协议概述
SMB(Server Message Block)协议是一种网络文件共享协议,主要用于文件和打印机共享。SMB协议允许客户端通过网络访问服务器上的文件、目录和其他资源。在Windows中,SMB协议是默认启用的,用于提供文件共享服务。
3. 漏洞背景
永恒之蓝(CVE-2017-0144)是一个存在于SMBv1协议中的远程代码执行漏洞。该漏洞从美国国家安全局(NSA)开发的利用工具泄露后被广泛使用,成为大规模网络攻击的工具。攻击者利用该漏洞可以远程执行任意代码,从而使受害系统完全被控制。
4. 利用原理
4.1 内存处理漏洞
永恒之蓝漏洞的核心是SMBv1协议在处理特定网络请求时存在内存处理错误。具体来说,该漏洞源于SMB协议在处理特制的数据包时没有正确验证数据长度,导致内存越界读取和写入。
- 内存越界读取:SMB服务器在处理特定请求时,会读取超过预期长度的数据,导致泄露敏感信息。
- 内存越界写入:SMB服务器会将数据写入超出分配内存范围的地址,覆盖重要的内存区域,包括代码指针和返回地址。
4.2 特制的SMB请求
攻击者利用永恒之蓝漏洞,通过发送特制的SMB请求来触发内存处理错误。这些请求经过精心构造,以确保它们能够绕过常规的协议验证,直接触发SMB协议中的漏洞。主要包括:
- 会话请求:建立与目标服务器的SMB会话,初始化通信。
- 树连接请求:访问目标服务器的共享资源。
- 特制的NT Trans请求:这是关键部分,攻击者构造特定的NT Trans请求,包含恶意数据,用于触发内存处理错误。
4.3 堆喷射和缓冲区溢出
为了成功利用内存越界写入漏洞,攻击者通常使用堆喷射技术(Heap Spray)。堆喷射是一种攻击技术,通过向目标系统的内存中大量注入恶意数据,使得这些数据在内存中占据大量空间,以增加攻击成功的概率。
简单示例:
-
堆喷射:发送大量特制的SMB请求,填充内存堆,使得恶意数据覆盖关键内存区域。
#include <stdio.h> #include <stdlib.h> #include <string.h> // 定义堆喷射函数 void spray_heap() { char *spray_data = (char *)malloc(1000); memset(spray_data, 'A', 1000); // 填充数据 for (int i = 0; i < 1000; i++) { // 构造SMB请求并发送 (示意) send_smb_request(spray_data); } free(spray_data); } void send_smb_request(char *data) { // 发送SMB请求 (示意) printf("Sending SMB request with data: %s\n", data); } int main() { spray_heap(); return 0; }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
spray_heap函数分配并填充1000字节的内存,将其填充为字符 ‘A’,然后通过调用send_smb_request函数发送1000次填充数据的模拟SMB请求。send_smb_request函数简单地打印包含填充数据的消息,这里仅仅做简单示意。 -
缓冲区溢出:利用内存越界写入错误,将恶意代码写入内存中的关键位置(如函数指针或返回地址),重定向程序的执行流。
#include <stdio.h> #include <stdlib.h> #include <string.h> void trigger_overflow() { char buffer[256]; char *shellcode = "\x90\x90\x90..."; // NOP指令和恶意代码 memset(buffer, 'A', 256); // 填充缓冲区 memcpy(buffer, shellcode, strlen(shellcode)); // 写入恶意代码 // 构造SMB请求并发送 (示意) send_smb_request(buffer); } void send_smb_request(char *data) { // 发送SMB请求的逻辑 (示意) printf("Sending SMB request with data: %s\n", data); } int main() { trigger_overflow(); return 0; }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
trigger_overflow函数首先定义了一个256字节的缓冲区并用字符 ‘A’ 填充,然后将包含NOP指令和恶意代码的shellcode写入缓冲区,最后通过调用send_smb_request函数发送已经构造好的请求。
4.4 远程代码执行
一旦内存中的关键区域被覆盖,攻击者就可以控制程序的执行流来执行注入的恶意代码。具体步骤简单示意如下:
-
覆盖返回地址:通过内存越界写入,将返回地址覆盖为恶意代码的地址。
#include <stdio.h> #include <stdlib.h> #include <string.h> void exploit_vulnerability() { char buffer[256]; char *shellcode = "\x90\x90\x90..."; // NOP指令和恶意代码 void *return_address = (void *)0xdeadbeef; // 恶意代码地址 memset(buffer, 'A', 256); // 填充缓冲区 memcpy(buffer, shellcode, strlen(shellcode)); // 写入恶意代码 memcpy(buffer + 200, &return_address, sizeof(return_address)); // 覆盖返回地址 // 构造SMB请求并发送 (示意) send_smb_request(buffer); } void send_smb_request(char *data) { // 发送SMB请求 (示意) printf("Sending SMB request with data: %s\n", data); } int main() { exploit_vulnerability(); return 0; }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
-
执行恶意代码:当函数返回时,程序会跳转到恶意代码地址,从而执行攻击者控制的代码。
-
远程Shell或Payload:攻击者通常会在恶意代码中打开一个反向Shell或执行其他Payload,以实现对目标系统的控制。
