实训项目7：Windows远程代码执行漏洞检测与修复

寻真求是格物致知信息安全发展态势与知识拓展实训项目指导手册V1.0目录TOC\o"1-2"\h\u17981Windows远程代码执行漏洞检测与修复 267实验概述 21337实验环境 21968前提条件 23314实验流程 221802实验目标 315039任务1检测漏洞 315545任务2配置IP安全策略修复漏洞 65707任务3安装补丁修复漏洞 16

Windows远程代码执行漏洞检测与修复实验概述永恒之蓝是指2017年4月14日晚，黑客团体ShadowBrokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。攻击者通过TCP的445和139端口，来利用SMBv1和NBT中的远程代码执行漏洞，通过恶意代码扫描并攻击开放445文件共享端口的Windows主机。只要用户主机开机联网，即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。MS17-010是微软于2017年3月14日发布的安全漏洞补丁，其修复了WindowsSMB远程代码执行漏洞。本实验通过对“永恒之蓝”漏洞进行检测，并下载补丁进行更新和验证，实现对漏洞的安全修复。实验环境攻击机：Kali-2022.1，IP：33靶机：WindowsServer2016（03-Windows靶机），IP：30前提条件本实验要求：熟悉Windows基本操作熟悉Kali操作系统基本操作熟悉Metasploit基本操作实验流程实验目标完成本实验后，将能够：掌握永恒之蓝漏洞检测方法掌握永恒之蓝漏洞修复方法任务1检测漏洞【任务目标】通过Metasploit框架中的漏洞检测脚本，对永恒之蓝漏洞进行检测。【任务步骤】测试连通性打开攻击机，查看IP地址。打开靶机，查看IP地址。在攻击机测试与靶机的连通性：检测永恒之蓝漏洞在Kali终端并执行命令：msfconsole，进入metasploit框架。执行如下命令，载入MS17-010检测脚本：useauxiliary/scanner/smb/smb_ms17_010执行如下命令，配置SMB登录信息：setSMBUseradministratorsetSMBPass执行如下命令，设置目标靶机地址：SetRHOSTS30执行showoptions命令，可查看配置选项。检查前面设置的内容是否正确。执行exploit或run命令，进行漏洞检测。若显示“HostislikelyVULNERABLEtoMS17-010!”则说明目标存在漏洞。任务2配置IP安全策略修复漏洞【任务目标】通过配置IP安全策略关闭445端口的访问，从而实现永恒之蓝漏洞的修复。【任务步骤】创建IP安全策略打开运行窗口，输入：gpedit.msc打开组策略编辑器。选择“计算机配置”->“Windows设置”->“安全设置”->“IP安全策略”在空白处单击鼠标右键，选择“创建IP安全策略”。在弹出的向导窗口中，单击“下一步”。自定义策略名称并单击“下一步”。在安全通讯请求界面，无需操作，直接单击“下一步”。勾选“编辑属性”，单击“下一步”。在属性界面，去掉右下角“添加向导”，并单击“添加”按钮。在“新规则属性”界面，选择“IP筛选器列表”，单击“添加”按钮。自定义筛选器名称，去掉勾选“使用’添加向导’”，并单击“添加”按钮。在地址界面，源地址选择“任何IP地址”，目标地址选择“任何IP地址”。在协议界面，选择协议类型“TCP”，设置IP协议端口为“到此端口：445”，单击“确定”。选择“筛选器操作”界面，去掉勾选“使用’添加向导’”，单击“添加”。在安全方法界面，勾选“阻止”，并单击“确定”。在筛选器操作界面，勾选“新筛选器操作”。在IP筛选器列表界面，勾选刚创建的规则，并单击“应用”按钮。单击“确定”。分配IP安全策略右键单击新建的策略，选择“分配”。重启机器，让策略生效。漏洞修复验证回到Kali终端中，继续执行漏洞脚本，验证漏洞是否存在。显示445端口访问超时，说明445端口的访问被拒绝。注：此方法为临时修复漏洞的方法，对来自本机的攻击无能为力。任务3安装补丁修复漏洞【任务目标】通过安装MS17-010漏洞补丁，实现对永恒之蓝漏洞的修复。【任务步骤】关闭IP安全策略为避免影响实验结果，需要将前一任务的IP安全策略关闭，右键单击“禁用445端口”策略，并选择“未分配”。重启机器，关闭策略。安装MS17-010漏洞补丁打开桌面的“实训项目工具”文件夹，进入第3章安全漏洞与恶意代码文件夹，找到windows10.0-kb4013429-x64漏洞补丁，并双击该补丁进行安装。因更新补丁程序较大，故安装需要等待一定时间。