【漏洞复现】永恒之蓝漏洞(MS17-010)

 

一、MS17-010

Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞，恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前已知受影响的Windows 版本包括但不限于：

WindowsNT，Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

 

二、准备

攻击机：kali-2019    192.168.75.134

靶机：win7_x86（关闭防火墙）    192.168.75.130

 

三、渗透测试

1、用 nmap 扫描本网段中存活的主机 nmap -r 192.168.75.0/24 ，可以看到探测到了靶机，445端口开放，永恒之蓝利用的就是445端口的 SMB 服务（注意把防火墙关闭，否则ping不通）。

 

2、进入 MSF 框架，输入命令 msfconsole

搜索 ms17-010 的 exploit，输入 search ms17-010 ，Name栏应该显示对应 payload 的名称。

 

3、使用 ms17-010 的扫描模块，对靶机进行扫描，提示 Host is likely VULNERABLE to MS17-010! 说明该IP可以被攻击。

 

4、使用 ms17-010 的攻击模块，对靶机进行攻击

靶机蓝屏。。。。

果断换 exp  ，use exploit/windows/smb/ms17_010_psexec

 

后渗透测试

1、测试一下

到靶机中输入 tasklist  看看

 

2、shell 

 

3、新建一个管理员账户试试

在靶机中查看

 

4、所能实现的其他恶意操作不再赘述。

 

四、验证攻击进程 powershell.exe

在靶机打开 procexp 查看进程

攻击机 执行 exit 退出后，cmd.exe结束

重启一下靶机，攻击机显示连接中断

攻击机重新执行一下 exploit ，连接成功后发现靶机又出现 powershell.exe

command line内容：

在靶机中结束 powershell.exe 进程，攻击机显示连接中断

 

五、漏洞原理

 

 

 

 

参考：

https://www.freebuf.com/column/193681.html

http://www.pianshen.com/article/3608194345/