MS17_010

漏洞信息

多个 Windows SMB 远程执行代码漏洞
当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时，存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。
为了利用此漏洞，在多数情况下，未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包。从内存进程获取敏感信息。

修补方法

禁用SMBv1

对于客户端操作系统：
打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。
重启系统。

对于服务器操作系统： 打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。 在“功能”窗口中，清除“SMB 1.0/CIFS
文件共享支持”复选框，然后单击“确定”以关闭此窗口。 重启系统。

验证过程

攻击机：kali
靶机：win7

1、主机发现

2、ms17_010模块

第一个是针对ms17_010的扫描模块
第二个是漏洞的利用模块

3、发现模块所需的参数

4、扫描成功

5、漏洞利用

6、发送恶意数据，建立链接

7、添加管理员账号

8、提权

9、当在获取到的cmd上执行一些操作时，会在受害机上出现提示，从而被发觉