在內網滲透時,通常掛上代理後。在內網首先會打啵ms17-010。在實戰中,使用msf的ms17-010模塊,數次沒有反彈成功。基於此,到底如何成功利用ms17-010
在msf成功接收session之後,添加路由
然後使用ms17-010相關的模塊進行探測是否存在該漏洞。
嘗試利用
LHOST配置為公網IP
可以看到success。漏洞是可以利用的,但始終沒有session。不知道什麽原因。
參考資料:
筆者在本地搭建環境,也是同樣的結果。嘗試更改payload為
bind_tcp攻擊者去連接,容易被防火墻和殺毒發現
可以成功生成session,但並不穩定,且在run的過程中非常容易導致本來的session died
在實際使用msf的ms17_010_eternalblue模塊時,筆者觀察到有幾個弊端。
1.session 很容易died
2.ms17_010_eternalblue模塊利用起來非常耗時
3.無法利用成功
有大佬推薦使用原始的fb.py。但配置起來感覺麻煩壹些。
所以。筆者從i春秋上找到壹個輕便的方程式漏洞利用工具。
參考資料:
工具使用起來很簡單。只需要msfvenom生成壹個x64或x86的dll文件,替換該工具下的x64.dll或x86.dll 。再依次點擊Eternalblue、Doublepulsar 的Attack即可。在Attack的時候,調用x64.dll動態鏈接庫,反彈到公網IP。原理和fb.py壹樣。
筆者通過ew代理進內網後,在跳板機上上傳了方程式漏洞利用工具、網安永恒之藍檢測工具。兩者結合,威力巨大。成功利用ms17-010
對於windows server 2008 ,msfvenom生成x64.dll文件
msf配置
將該x64.dll替換到方程式利用工具下面。
只需要更換目標的IP,就可以獲取session。
對於windows server 2003 ,msfvenom生成x86.dll文件
msf配置
進壹步利用的壹些命令
實際測試發現這種session非常穩定。不會輕易go die
實際測試server 2003的ms17-010時,有時候多次執行後msf就接收不到session,而且ms17-010利用時,脆弱的server 2003非常容易藍屏。
所以筆者選擇壹種穩定可靠壹些的辦法。
先通過ms17_010_commend模塊執行系統命令添加用戶至管理員。再指定SMBPass和SMBUser來建立windows可訪問命名管道[accessible named pipe]
參考資料 Metasploit 「永恒之藍」兩種模塊的利弊
system的權限可以直接激活guest用戶添加管理員組。
註意:使用ms17_010_psexec需要指定管理員的用戶名、密碼,否則沒有session
同樣的操作,載入mimikatz,讀取管理員密碼。