Windows系统SMB/RDP远程命令执行漏洞

最新推荐文章于 2024-06-02 16:50:45 发布
最新推荐文章于 2024-06-02 16:50:45 发布
阅读量1.2w 收藏 2
点赞数 2
分类专栏: 漏洞收集

 介于此次爆发的漏洞事件危害太过严重,本文当回搬运工,分享此次NSA方程式组织泄露的0day事件。由于信息量太过庞大,没有对其中的技术细节进行研究,不过请相信我,赶紧拔电源吧。

事件具体细节请参考:长亭科技专栏
exploit地址:https://github.com/x0rz/EQGRP_Lost_in_Translation

事件起因

  2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。
  北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。
  这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):

  • EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具
  • ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
  • 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
  • ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
  • FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
  • ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
  • ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。
  • ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

漏洞影响

据说影响全球70%的windows服务器,想想都恐怖,不说了,我拔电源了。

临时修复方案

  • 关闭445,137,139,3389端口,或者上防护设备限制特定ip访问。
  • 坐等微软补丁
7禧
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】Windows SMB远程代码执行漏洞(CVE-2020-0796)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-23 1292
2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。
linux smb 漏洞_Samba远程漏洞(CVE-2017-7494)利用分析
weixin_42545066的博客
12-23 1326
前言Samba远程漏洞(CVE-2017-7494) 被称为Linux 版的永恒之蓝,由于其影响范围广以及攻击成功后获得的权限高(一般默认smb服务以root权限运行)受到了广泛的关注,趁空余时间写一下这个漏洞的复现以及利用分析漏洞成因Linux Samba 协议实现代码中,处于source3/rpc_server/srv_pipe.c中的is_known_pipename()函数对路径过滤不严格...
漏洞公告】高危:Windows系统 SMB/RDP远程命令执行漏洞
weixin_34210740的博客
04-16 717
2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注,具体漏洞详情如下: 漏洞编号: 暂无 漏洞名称: Windows系统多个SMB\RDP远程命令执行漏洞官方评级: 高危 漏洞描述: 国外黑客组织Shadow Br...
永恒之蓝 (EternalBlue) 漏洞利用原理详解
最新发布
volta_xu的博客
06-02 887
SMB(Server Message Block)协议是一种网络文件共享协议,主要用于文件和打印机共享。SMB协议允许客户端通过网络访问服务器上的文件、目录和其他资源。在Windows中,SMB协议是默认启用的,用于提供文件共享服务。
Windows-smb漏洞利用介绍
qq_48423330的博客
02-09 450
Windows-smb漏洞利用介绍
SMB协议与永恒之蓝漏洞利用
weixin_45116657的博客
06-19 3609
一,SMB服务 SMB(全称为Server Message Block)是一个协议名,可用于在计算机间共享文件、打印机,串口等,电脑上的网上邻居就是靠他实现的; SMB是一个应用层协议,可以工作在NETBIOS协议之上(TCP/139)或者TCP协议(TCP/445)之上; SMB协议和NETBIOS协议在Windows主机默认安装; SMB版本最新的是3.X,win7和vista是2.X。wi...
D模块模拟Windows2008系统渗透所使用的的漏洞解析
04-04
5. **MS17-010**:“EternalBlue”漏洞,这是Windows SMB(Server Message Block)协议中的一个重大漏洞,允许远程代码执行。这个漏洞被广泛利用,例如在WannaCry和NotPetya勒索软件攻击中。确保安装相关的安全更新...
ms漏洞溢出dos命令
06-15
漏洞主要存在于Windows的Server服务中,攻击者可以通过发送特制的SMB(Server Message Block)请求来利用这个漏洞执行任意代码,甚至完全控制受影响的系统。 2. **MS05-039**:这个安全公告涉及到Windows操作...
漏洞端口关闭135,137,139,445,3389.rar
08-13
4. **端口3389**:这是Remote Desktop Protocol (RDP)的默认端口,允许用户通过网络远程访问操作系统桌面。如果未正确配置或密码强度不足,RDP可以成为黑客入侵的通道。 为了防范勒索病毒和蠕虫,以下是一些安全...
God.org单域环境攻略(三)1
08-08
7. Windows 2003:这是一个较为古老的操作系统,存在多个漏洞,包括 IIS 6.0 远程代码执行漏洞、永恒之蓝漏洞、MSSQL 弱口令、CVE-2019-0708 远程桌面代码执行漏洞和 MS08-067 漏洞。 8. Metasploit 框架:这是一个...
ms12-020.exe/windows远程桌面溢出程序/远程蓝屏重启exploit
09-11
Usage: MS12-020.exe Remote_host_add Example: MS12-020.exe www.test.com MS12-020.exe 192.168.1.1 Source Code Copyright Silic Group Application Copyright Xiaomo.wabzsy
doublepulsar-detection-script脚本:用于扫描网络以查找受DOUBLEPULSAR植入物危害的Windows系统的python2脚本
02-20
它重新实现植入物的ping命令,可以在不进行身份验证的情况下远程使用该命令,以确定系统是否被感染。 支持植入物的SMBRDP版本。 并非所有操作系统版本都经过测试,并且某些当前无法通过。 例如,2012将拒绝带有...
4.9、漏洞利用 smb-RCE远程命令执行
c10udz的博客
11-12 2363
1.1 samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。1.2 SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器(C/S)型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。1.3 samba监听的端口。
SMB协议——永恒之蓝漏洞利用
热门推荐
浅浅的博客
03-06 1万+
SMB — 永恒之蓝漏洞利用 1、实验环境: 攻击机:kali IP:192.168.247.158 被攻击机:Win 7 IP:192.168.247.150 2、实验步骤: 被攻击机Win 7: 在被攻击机Win 7中开启SMB1,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/LanmanServe...
linux smb 漏洞_[原创]Linux cve-2017-7494samba远程漏洞利用和分析
weixin_42520661的博客
01-13 436
漏洞背景:Samba是在Linux和UNIX系统上实现SMB协议的一个软件,2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞漏洞编号CVE-2017-7494,漏洞影响了Samba3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本,,确认属于严重漏洞,可以造成远程代码执行。环境搭建:靶机环境 : Li...
SMB信息泄露的利用
Scalzdp的专栏
11-17 825
SMB的协议出现较早,应用较广泛,但是早期计算机协议注重应用的快速建立,而对安全的要求并不太严格,所以很多较老的设备使用了存在漏洞SMB协议,就会存在安全隐患。我们在SMB漏洞的利用中,主要还是基于msf提供的一些payload,这些payload其实都是别人做好了的,所以用起来特别方便,也从另一个方面反映如果有人要攻击利用SMB漏洞其实也很方便,所以我们在计算机安全防护上还需进行更多的考虑,必要的安全设置应该保留,不要为了一时方便,关闭所有安全防护的护盾。
Windows Server 2008 R2 Microsoft Windows SMB 远程代码执行漏洞(CVE-2017-0148)(MS17-010)
友人A的博客
06-10 4827
漏洞提示 漏洞详情
rdp 执行命令演示_3个用于从命令行进行演示的工具
cumo7370的博客
07-11 1232
rdp 执行命令演示 厌倦了使用LibreOffice Impress或各种令人讨厌的工具和框架来创建和显示演示幻灯片吗? 相反,请考虑在终端窗口中为您的下一个演讲运行幻灯片。 使用终端显示幻灯片听起来很奇怪,但事实并非如此。 也许您想多抱些内心的怪胎。 也许您希望观众将注意力集中在您的想法上,而不是幻灯片上。 也许您是高桥方法的奉献者。 无论您出于何种原因使用终端,都可以使用一种(演示)工...
3389/rdp常用的漏洞利用方法
05-27
RDP远程桌面协议)是一种用于Windows系统远程管理工具,常用于远程控制服务器。以下是一些常用的RDP漏洞利用方法: 1. RDP弱口令攻击:黑客可以使用常见的用户名和密码组合来尝试登录RDP服务,例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值