1.勒索病毒攻击原理是攻击攻击什么|比特币勒索病毒原理介绍
2.勒索病毒是什么
3.HTB系列靶机Frolic的渗透测试详解

勒索病毒攻击原理是什么|比特币勒索病毒原理介绍

       WannaCry勒索病毒是一种通过利用NSA泄露的“永恒之蓝”漏洞进行传播的恶意软件。这种病毒主要针对未更新到最新版本的源码Windows系统，包括xp、代码大全vista、攻击攻击win7、源码win8等系统。代码大全susedocker源码它通过扫描电脑上的攻击攻击TCP端口，以蠕虫病毒的源码方式传播，入侵主机并加密存储的代码大全文件，然后索要比特币作为赎金，攻击攻击金额大约在至美元之间。源码当用户的代码大全主机系统被该勒索软件入侵后，会弹出勒索对话框，攻击攻击提示勒索目的源码并向用户索要比特币。被加密的代码大全文件后缀名被统一修改为“.WNCRY”，包括照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件。目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，igg怎么添加源码只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

       WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

       年5月日，WannaCry蠕虫通过MS-漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于美元（约合人民币元）的比特币才可解锁。年5月日晚间，由一名英国研究员于无意间发现的WannaCry隐藏开关（KillSwitch）域名，意外的博客网站模板源码遏制了病毒的进一步大规模扩散，研究人员分析此次Wannacrypt勒索软件时，发现它并没有对原文件进行这样的“深度处理”，而是直接删除。这看来算是一个比较低级的“失策”，而此次正是利用了勒索者的“失策”，实现了部分文件恢复。年5月日，监测发现，WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了KillSwitch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

       勒索病毒主要攻击的文件类型包括常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）压缩文档和媒体文件（.zip、魔力相册源码软件.rar、.tar、.mp4、.mkv）电子邮件和李答邮件数据库（.eml、.msg、.ost、.pst、.deb）数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）开发者使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）密匙和证书（.key、.pfx、.pem、.p、.csr、.gpg、.aes）美术设计人员、艺术家和摄影师使用的扑鱼游戏源码文件（.vsd、.odg、.raw、.nef、.svg、.psd）虚拟机文件（.vmx、.vmdk、.vdi）

       为了预防Windows勒索病毒，建议及时更新操作系统补丁，安装杀毒软件，定期备份重要数据，不要打开来源不明的文件，不要点击不明链接，保持警惕。如果电脑不幸感染了勒索病毒，可以尝试使用一些数据恢复工具来恢复被加密的文件，同时立即断网，避免病毒进一步传播。

勒索病毒是什么

       很难再次有大爆发，首次爆发的根本原因是教育网以及内网单位对端口的麻痹大意造成的，是防御上的弱B，而非病毒的牛B，有了第一次的教训后没谁还敢轻易开放端口了，病毒大范围爆发的根本条件已经不具备。

       本次爆发的勒索病毒借用了最新的“永恒之蓝”windows攻击工具，使其可以对局域网中所有未防备端口的开机电脑主动进行感染，具备了之前电脑病毒不具有的主动入侵性，所以才造成大爆发。勒索病毒和其他病毒一样，依旧可以经由网络下载和U盘感染等传统方式入侵计算机，并不是防备了端口就万无一失。

       盗号什么的不必担心，勒索病毒只是强制给你电脑中所有的文档、、视频、压缩包等等重要文件进行加密，而且加密强度极高，基本不存在强行解密的可能，对特殊人群的电脑有毁灭性的伤害，而其盈利也正是针对这些特殊人群索要赎金而已。

HTB系列靶机Frolic的渗透测试详解

       Hack The Box 平台上提供了多种靶机，从简单到复杂，旨在提升渗透测试技能和黑盒测试能力。这些靶机模拟了真实世界场景，适合不同层次的挑战。今天，我们将详细介绍如何通过靶机 Frolic 的渗透测试。

       首先，使用 nmap 扫描靶机开放的端口和服务。结果显示 SSH（端口 ）、SMB（端口 和 ）以及 HTTP（端口 ）。

       针对 SMB 服务，我们尝试使用 smbmap 查看共享文件。发现了两个共享目录，但没有访问权限。

       接着，我们通过 nc 工具快速检测了端口 是否开放。结果显示该端口是开启的。随后，访问了该端口，发现了一个简单的欢迎页面，底部包含 “forlic.htb:” 的信息。

       尝试登陆页面时，我们注意到需要账户密码。尽管使用常见默认账户和密码尝试登陆，但均失败。当使用 admin:password 登录时，页面陷入卡顿状态，且系统实施了等待时间限制，禁止暴力破解。

       为了突破限制，我们使用 gobuster 爆破网站目录，成功发现了 /backup、/dev、/test 和 /admin 等目录。在 /backup 中，我们找到了 password.txt 和 user.txt 文件，分别包含了账号密码：admin: imnothuman。

       尝试登陆刚刚发现的 Node-RED 页面时，发现无法登陆。我们转而访问 /admin 页面，发现提示剩余尝试次数。通过 Burp Suite 工具抓包发现，未接收到任何反馈信息。检查源代码的 JS 代码，发现了一种编码技巧。复制这段编码到谷歌搜索后，我们访问了作为提示的 URL，并通过解码找到一个 ZIP 文件。

       解压 ZIP 文件后，需要密码，我们使用 zip2john 工具将其转换为密码 HASH，然后使用 john 工具破解，得到了密码：password。再次解压文件，内容疑似 进制格式。转换后，我们发现是一个需要解密的文本，通过谷歌搜索找到对应解码网站，解密后得到 idkwhatispass。

       经过多次尝试，我们总共得到了两组密码。我们发现可能还有未被探索的网页，其密码可能属于未被发现的页面。基于此，我们继续使用 gobuster 工具进行进一步的扫描和爆破，最终找到了 /dev 下的 /backup 目录。

       访问此目录并使用刚刚得到的密码尝试登陆。正确的账号密码是 admin: idkwhatispass。接着，我们尝试利用 playsms 的已知漏洞进行攻击。使用 1.4 版本的远程代码执行漏洞，通过 searchsploit-x Path 查找相应的漏洞说明并手动利用。也可以使用 Metasploit 框架中集成的工具进行攻击。

       成功后，我们获得了 user flag。接下来是提权操作，我们使用 LinEnum 工具检查可利用的提升权限点。使用 Python 的 SimpleHTTPServer 模块将 LinEnum 上传到靶机执行，然后在 shell 中运行。我们注意到带有 SUID 权限的文件，可以通过输入特定内容触发溢出攻击，进而获得 root 权限。

       我们使用 gdb 进行调试，通过插件 pEDA 安装，调试工具帮助我们定位错误位置和计算地址偏移量。通过一系列操作，我们最终获得了 /bin/sh 的地址，并整合系统调用函数 system() 和 exit() 的地址，构建了 payload，成功获取了 root 权限。

       Ms 安全实验室专注于网络安全知识的普及和培训，已出版多本专业书籍，如《Web 安全攻防：渗透测试实战指南》、《内网安全攻防：渗透测试实战指南》等。团队定期在公众号分享技术干货，旨在提供实用的渗透测试实战指南。