MS17_010永恒之蓝漏洞利用与安全加固复现记录

最新推荐文章于 2025-03-16 01:05:14 发布
最新推荐文章于 2025-03-16 01:05:14 发布
阅读量1.1k 收藏 30
点赞数 27
分类专栏: 杂个人漏洞实战练习记录 文章标签: 安全 ms17-010 永恒之蓝漏洞复现 网络安全 web安全 网络安全学习 漏洞实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wdnmddbl/article/details/139650703
版权

杂个人漏洞实战练习记录

MS17_010永恒之蓝漏洞利用与安全加固复现记录

文章目录

前言

路漫漫其修远兮,吾将上下而求索。

EternalBlue达到其攻击目的事实上利用了3个独立的漏洞:第一个也就是 CVE-2017-0144被用于引发越界内存写;第二个漏洞则用于绕过内存写的长度限制;第三个漏洞被用于攻击数据的内存布局。如果病毒成功入侵或攻击端口,就会从远程服务器下载病毒代码,进而横向传播给局域网内其他电脑。同时,该病毒还会在被感染电脑中留下后门病毒,以准备进行后续的恶意攻击,不排除未来会向用户电脑传播更具威胁性病毒的可能性,例如勒索病毒等。
MS17-010漏洞后门利用程序–EternalBlue
该漏洞利用程序影响Windows 7和Windows Server 2008大部分版本系统,无需认证权限就能实现系统入侵控制;另一个为可以远程向目标控制系统注入恶意DLL或Payload程序的插件工具DOUBLEPULSAR。综合利用这两个工具,入侵攻成功之后,我们可以实现对目标系统执行Empire/Meterpreter反弹连接控制。在此过程中,我们还需要用到NSA使用的类似Metasploit的漏洞利用代码攻击框架FUZZBUNCH。

Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 严重 远程命令执行
CVE-2017-0144 严重 远程命令执行
CVE-2017-0145 严重 远程命令执行
CVE-2017-0146 严重 远程命令执行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148 严重 远程命令执行

漏洞描述
SMBv1 server是其中的一个服务器协议组件。
Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。
远程攻击者可借助特制的数据包利用该漏洞执行任意代码。

以下版本受到影响:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。

一、实验过程

实验场景:
攻击机:kali
ip:192.168.66.74
靶机:win7 x64(关闭防火墙)
ip:192.168.66.79

1. 使用命令nmap -sV -p- ip 扫描靶机服务版本和端口信息,分析得知开启139,445端口,且操作系统为win7在渗透之蓝漏洞影响范围内如下图所示:

在这里插入图片描述

2.启用metasploit渗透测试平台,搜索ms17-010验证模块检测靶机是否有永恒之蓝漏洞,测试结果是脆弱,含有漏洞如下图所示:

在这里插入图片描述

3.启用永恒之蓝渗透测试模块对靶机进行测试渗透,设置好必要参数,exploit结果显示成功,如下图所示:

在这里插入图片描述

4.启用kiwi工具查看目标靶机的信息,列举出所有凭据,成功得到用户名和密码如下图所示:

在这里插入图片描述在这里插入图片描述

5.进入shell终端(乱码解决:chcp 65001使用utf-8编码)查看当前系统权限,用户信息,添加后门用户并提升至管理员权限等操作,如下图所示:

查看当前系统权限:
在这里插入图片描述查看用户信息:

在这里插入图片描述添加后门用户并提升至管理员权限:
在这里插入图片描述
在这里插入图片描述

6.开启3389远程端口,并使用后门用户进行连接,如下图所示:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在这里插入图片描述远程连接靶机:
在这里插入图片描述使用后门用户进行连接:

在这里插入图片描述

7.开启一个持久性后门程序,如下图所示:

把msf挂在后台,建立当前会话:
在这里插入图片描述我们用一个注册表的方式写一个后门:
在这里插入图片描述设置好SESSION,STARTUP必要参数,运行写入成功:
在这里插入图片描述

8.重启靶机,开启监听模块,只要重启后门就会主动连接,咱们就可以为所欲为,如下图所示:

但是重启后,并没有连接上,我在靶机里查看是写入成功里的,但是运行不了,应该是一些安全机制阻挡了:

在这里插入图片描述在这里插入图片描述手动查看靶机,找到后门维持脚本存在:

在这里插入图片描述

9.手动将该脚本复制到开机自启动项中:c:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。如下图所示:这

这个路径:

c:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

在这里插入图片描述

10.然后在windows/handler模块下,继续开启监听,重启靶机,等待持续后门自动连接即可时间有点长,我就不等了,就是这样

在这里插入图片描述

总结

修复建议:开启windows自动更新
在这里插入图片描述

操作系统漏洞验证及加固-MS17_010漏洞利用安全加固
旺仔Sec&blog
11-17 1155
第六步,通过扫描发现目标靶机存在MS17-010漏洞,下一步使用use命令调用exploit/windwos /smb/ms17_010_eternalblue漏洞利用模块,然后使用show options命令查看配置参数,并对目标靶机地址进行设置。第二步,使用ifconfig和ipconfig命令分别获取渗透机和靶机的IP地址,使用ping命令进行网络连通性测试,确保网络可达。第十一步,使用命令shell启动meterpreter下cmd的shell终端,然后使用命令ipconfig查看当前网卡的信息,
Windows系统漏洞检测漏洞利用以及修复(永恒之蓝ms17-010
薛定谔嘚喵博客
04-25 2719
攻击机:Linux kali(IP:192.168.107.129)靶机:Windows 7 Enterprise (x64)(IP:192.168.107.143)实验条件:两台机子可以相互ping通,并且靶机(无补丁)开启了445端口,防火墙是关闭的!永恒之蓝漏洞MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成。
永恒之蓝漏洞修复工具
06-30
永恒之蓝勒索病毒漏洞修复
渗透测试+MS17-010CVE-2017 0143/0144/0145/0146/0147/0148永恒之蓝漏洞复现
最新发布
lovingMeng的博客
03-16 697
通过kali对windows系统进行渗透测试
MS17_010 漏洞利用安全加固
theRavensea
03-18 2510
MS17_010 漏洞后门利用程序 EternalBlue(从目前使用情况来看,相对比较稳定)可影响 Windows 7和 Windows Server 2008 大部分版本的操作系统,无需认证权限就能实现系统入侵控制;插件工具DoublePulsar 可以远程向目标控制系统注入恶意DLL 或 Payload程序。综合利用这两个工具,入侵成功之后可以对目标系统执行 Empire/Meterpreter 反弹连接控制。在此过程,还需要NSA 使用的类似 Metasploit 的漏洞利用代码攻击框架 FuzzB
MS17_010漏洞利用安全加固.
Ari Max.的博客
09-01 973
1.使用命令msfconsole启动metasploit平台。(个人喜欢用msfconsole -q,感觉更快) 2. 使用命令search搜索msf模块auxiliary/scanner/smb/smb_ms17_010验证目标靶机是否存在此漏洞。 3.使用命令use auxiliary/scanner/smb/smb_ms17_010来调用漏洞扫描检测模块。使用show options查看需要配置的参数。 4.使用set RHOSTS设置靶机地址,使用exploit或者run命令运行扫描模块。 .
MS17-010(Eternal blue永恒之蓝漏洞利用+修复方法
记录学习
06-21 5619
msf永恒之蓝漏洞复现过程以及修复建议
2024年[永恒之蓝]实战-漏洞复现_永恒之蓝漏洞复现实验(1),2024年最新网络安全中高级面试必知必会
m0_60691292的博客
05-05 800
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;8、显示meterpreter,我们已经所渗透成功了,现在我们已经拿到目标机的Shell了。3、我们在第二步的时候使用的是auxiliary模块进行的漏洞检测,这回我们使用exploit模块进行漏洞利用
利用kali Linux复现永恒之蓝MS17-010漏洞
YRYUNO_1的博客
01-11 2145
复现永恒之蓝ms17-010漏洞,并利用漏洞控制受害机器进行截屏和远程桌面操作。
渗透基础笔记+作业(永恒之蓝复现
09-08
本文将围绕渗透测试的基础知识、永恒之蓝漏洞复现以及渗透测试在实际中的应用进行详细探讨。 渗透测试的前期交互是整个测试流程的基础。在这一阶段,测试团队需要客户进行充分沟通,明确测试目标和范围,并讨论...
网络安全入门攻击防御实战(四)
Memory_mumu的博客
02-19 740
通过本节学习,你已掌握如何利用Metasploit复现高危漏洞,下一步可探索其他漏洞(如Weblogic反序列化)的利用防御。:Windows XP ~ Windows 2012(未安装2017年3月补丁的系统)。:未打补丁的Windows 7 SP1(需关闭防火墙,开启SMBv1服务)。(如BlueKeep)证明老旧协议的高风险性,需持续关注微软安全公告。:Windows远程桌面服务(RDP)漏洞,无需用户交互即可触发。:限制SMB/RDP端口的互联网暴露(仅允许内网访问)。
ms17-010 永恒之蓝
bazzza的博客
12-22 290
永恒之蓝漏洞利用 简介 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不
永恒之蓝ms-17-010
尘玥的故事
07-18 739
2.saerch ms17-010 #命令搜索漏洞编号ms17-010相关模块。来到这个页面后的第一部是按键盘上的“i”键,左下角出现“插入”后说明操作正确。从下面的源内选择一个复制下来准备粘贴进去(都是优质源,复制哪个都可以)。尝试运行一个:screenshare—实时监控当前主机界面。换源vim /etc/apt/sources.list。-P:指定端口扫描(0-65535为全端口)使用“#”将原本的源给注释掉。-sC:使用内置脚本进行扫描。-sT:TCP全连接扫描。-sV:识别服务版本。
永恒之蓝(MS17-010)
人们并不感谢罗辑
08-06 1513
SMB协议SMB是一个协议服务器信息块,它是一个客户机/服务器,请求/响应协议,通过SMB协议可以在计算机间共享文件,命名管道等资源,电脑上网上邻居就是靠SMB实现的;
网络安全入门第一课—永恒之蓝ms17-010
m0_56088051的博客
07-13 6951
一、永恒之蓝(Eternal Blue)永恒之蓝相关病毒,其实是利用了微软的MS17-010漏洞MS17-010Windows系统一个底层服务的漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序二、实验环境。
Metasploit-MS17-010永恒之蓝 EternalBlue )复现
5L2g556F5ZWl77yf
09-09 1402
一. 概述 此安全更新程序修复了 Microsoft Windows 中的多个漏洞。如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。 对于 Microsoft Windows 的所有受支持版本,此安全更新的等级为“严重”。有关详细信息,请参阅受影响的软件和漏洞严重等级部分。 此安全更新可通过更正 SMBv1 处理经特殊设计的请求的方式来修复这些漏洞。 有关这些漏洞的详细信息,请参阅漏洞信息部分。 EternalChampion 永恒冠军(CVE-
MS17-010漏洞检测内网穿透技术的应用
Fly_鹏程万里
06-13 1946
0x00 前言本文主要介绍一下MSF模块的下载、使用,以及当攻击机处于内网,而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下,并没有新的知识点,可以为刚入门的新手抛砖引玉,提供一条解决问题的思路,同时也记录一下过程,加强记忆。主要分为两个知识点,一是SMB漏洞的批量检测,二是内网穿透技术。首先是环境的搭建,具体如下表所示:主机IP备注Kali 64位192.168.232....
永恒之蓝漏洞利用及攻击
liver100day的博客
04-17 5512
永恒之蓝漏洞利用及攻击 1.基础知识介绍 什么是永恒之蓝漏洞永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具, “永恒之蓝利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒, 英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 2.什么是SMB协议? S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值