What is MS17-010
MS17-010(永恒之蓝)应用的不仅仅是一个漏洞,而是包含Windows SMB 远程代码执行漏洞CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148在内的6个SMB漏洞的攻击,所以攻击显得十分繁琐。
简单地讲,分析MS17-010漏洞要从SMB的运行漏洞上面下手考虑,下面简单介绍一下有关SMB的运行机制。
攻击原理
Windows SMB 远程代码执行漏洞
SMB(Server Message Block)协议在NT/2000中用来作文件共享,在Win-NT中,SMB运行于NBT(NetBIOS over TCP/IP)上,使用137、139(UDP)、139(TCP)端口。
在win2000级以上版本中,SMB可以直接运行在TCP/IP上,而没有额外的NBT层,使用TCP 445端口。
检测方式
nmap
nmap --script smb-vuln-ms17-010 [IP]