当前位置:   article > 正文

永恒之蓝 (EternalBlue) 漏洞利用原理详解_永恒之蓝漏洞

永恒之蓝漏洞

永恒之蓝 (EternalBlue) 漏洞利用原理详解

1. 引言

最近正好在做基于“永恒之蓝”漏洞的内网渗透实验,遂写此文来记录一下对于其漏洞原理的理解。永恒之蓝 (EternalBlue) (编号:CVE-2017-0144) 是一个严重的网络安全漏洞,其利用了Windows的SMBv1版本协议。本文将分析永恒之蓝漏洞的原理,并结合C语言的代码示例进行解释。

2. SMB协议概述

SMB(Server Message Block)协议是一种网络文件共享协议,主要用于文件和打印机共享。SMB协议允许客户端通过网络访问服务器上的文件、目录和其他资源。在Windows中,SMB协议是默认启用的,用于提供文件共享服务。

3. 漏洞背景

永恒之蓝(CVE-2017-0144)是一个存在于SMBv1协议中的远程代码执行漏洞。该漏洞从美国国家安全局(NSA)开发的利用工具泄露后被广泛使用,成为大规模网络攻击的工具。攻击者利用该漏洞可以远程执行任意代码,从而使受害系统完全被控制。

4. 利用原理

4.1 内存处理漏洞

永恒之蓝漏洞的核心是SMBv1协议在处理特定网络请求时存在内存处理错误。具体来说,该漏洞源于SMB协议在处理特制的数据包时没有正确验证数据长度,导致内存越界读取和写入。

  • 内存越界读取:SMB服务器在处理特定请求时,会读取超过预期长度的数据,导致泄露敏感信息。
  • 内存越界写入:SMB服务器会将数据写入超出分配内存范围的地址,覆盖重要的内存区域,包括代码指针和返回地址。

4.2 特制的SMB请求

攻击者利用永恒之蓝漏洞,通过发送特制的SMB请求来触发内存处理错误。这些请求经过精心构造,以确保它们能够绕过常规的协议验证,直接触发SMB协议中的漏洞。主要包括:

  • 会话请求:建立与目标服务器的SMB会话,初始化通信。
  • 树连接请求:访问目标服务器的共享资源。
  • 特制的NT Trans请求:这是关键部分,攻击者构造特定的NT Trans请求,包含恶意数据,用于触发内存处理错误。

4.3 堆喷射和缓冲区溢出

为了成功利用内存越界写入漏洞,攻击者通常使用堆喷射技术(Heap Spray)。堆喷射是一种攻击技术,通过向目标系统的内存中大量注入恶意数据,使得这些数据在内存中占据大量空间,以增加攻击成功的概率。

简单示例:
  1. 堆喷射:发送大量特制的SMB请求,填充内存堆,使得恶意数据覆盖关键内存区域。

    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    
    // 定义堆喷射函数
    void spray_heap() {
        char *spray_data = (char *)malloc(1000);
        memset(spray_data, 'A', 1000); // 填充数据
        for (int i = 0; i < 1000; i++) {
            // 构造SMB请求并发送 (示意)
            send_smb_request(spray_data);
        }
        free(spray_data);
    }
    
    void send_smb_request(char *data) {
        // 发送SMB请求 (示意)
        printf("Sending SMB request with data: %s\n", data);
    }
    
    int main() {
        spray_heap();
        return 0;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24

    spray_heap 函数分配并填充1000字节的内存,将其填充为字符 ‘A’,然后通过调用 send_smb_request 函数发送1000次填充数据的模拟SMB请求。send_smb_request 函数简单地打印包含填充数据的消息,这里仅仅做简单示意。

  2. 缓冲区溢出:利用内存越界写入错误,将恶意代码写入内存中的关键位置(如函数指针或返回地址),重定向程序的执行流。

    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    
    void trigger_overflow() {
        char buffer[256];
        char *shellcode = "\x90\x90\x90..."; // NOP指令和恶意代码
        memset(buffer, 'A', 256); // 填充缓冲区
        memcpy(buffer, shellcode, strlen(shellcode)); // 写入恶意代码
        // 构造SMB请求并发送 (示意)
        send_smb_request(buffer);
    }
    
    void send_smb_request(char *data) {
        // 发送SMB请求的逻辑 (示意)
        printf("Sending SMB request with data: %s\n", data);
    }
    
    int main() {
        trigger_overflow();
        return 0;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22

    trigger_overflow 函数首先定义了一个256字节的缓冲区并用字符 ‘A’ 填充,然后将包含NOP指令和恶意代码的 shellcode 写入缓冲区,最后通过调用 send_smb_request 函数发送已经构造好的请求。

4.4 远程代码执行

一旦内存中的关键区域被覆盖,攻击者就可以控制程序的执行流来执行注入的恶意代码。具体步骤简单示意如下:

  1. 覆盖返回地址:通过内存越界写入,将返回地址覆盖为恶意代码的地址。

    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    
    void exploit_vulnerability() {
        char buffer[256];
        char *shellcode = "\x90\x90\x90..."; // NOP指令和恶意代码
        void *return_address = (void *)0xdeadbeef; // 恶意代码地址
        memset(buffer, 'A', 256); // 填充缓冲区
        memcpy(buffer, shellcode, strlen(shellcode)); // 写入恶意代码
        memcpy(buffer + 200, &return_address, sizeof(return_address)); // 覆盖返回地址
        // 构造SMB请求并发送 (示意)
        send_smb_request(buffer);
    }
    
    void send_smb_request(char *data) {
        // 发送SMB请求 (示意)
        printf("Sending SMB request with data: %s\n", data);
    }
    
    int main() {
        exploit_vulnerability();
        return 0;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
  2. 执行恶意代码:当函数返回时,程序会跳转到恶意代码地址,从而执行攻击者控制的代码。

  3. 远程Shell或Payload:攻击者通常会在恶意代码中打开一个反向Shell或执行其他Payload,以实现对目标系统的控制。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/天景科技苑/article/detail/848195
推荐阅读
相关标签
  

闽ICP备14008679号