漏洞演示

# 永恒之蓝 MS17-010复现

1. 搭好环境后，进入msf平台，搜索17-010相关漏洞利用组件

![](/media/202205//1652257955.5610335.png)

1. 已知靶机为win7，因此使用攻击模块下的exploit/windows/smb/ms17-010-eternalblue

![](/media/202205//1652257955.6000834.png)

1. 上图可以看到，攻击过程中，必填项RHOSTS没有填写，我们设置RHOSTS

![](/media/202205//1652257955.6340811.png)

1. 查看exploit的可用攻击有效负载

![](/media/202205//1652257955.6599858.png) ![](/media/202205//1652257955.7083066.png)

1. 已知靶机为win7 64位，我们选择meterpreter的反弹shell

![](/media/202205//1652257955.7355752.png)

1. 继续查看补充信息，发现缺少攻击载荷中的LHOST回连地址

![](/media/202205//1652257955.7702994.png)

1. 补充LHOST

![](/media/202205//1652257955.8010461.png)

1. 现在可以攻击，可以看到返回了一个meterpreter的session

![](/media/202205//1652257955.828539.png)![](/media/202205//1652257955.8577297.png)

1. 使用session 1进入该会话，过去主机相关控制权

![](/media/202205//1652257955.8874056.png)

1. 我们尝试获取一些信息

![](/media/202205//1652257955.917474.png)

![](/media/202205//1652257955.943931.png)

1. 我们还可以获取屏幕快照

![](/media/202205//1652257955.975465.png)![](/media/202205//1652257956.0013404.png)

1. 也可以打开一些程序

![](/media/202205//1652257956.0386436.png)![](/media/202205//1652257956.0644686.png)

1. 碰到乱码问题，可以用windows下chcp来改变编码，常见编码如下

936 GB2312  
950 Big5  
1200 Unicode  
65000 Unicode(UTF-7)  
65001 Unicode(UTF-8)

![](/media/202205//1652257956.0896318.png)

# 投递恶意软件及隐藏自身攻击行为复现

1. Windows虚拟机上关闭杀软 和防火墙
2. 使用Msfvenom生成一个恶意程序，这里以exe为例

![](/media/202205//1652257956.1124196.png)

1. 假定我们将这个exe程序投放到靶机靶机上，诱使受害人点击相关exe，在本机MSF上我们启用攻击模块中的监听器

![](/media/202205//1652257956.1416473.png)

![](/media/202205//1652257956.1684985.png)

1. 使用监听器并不需要一个漏洞作为媒介,攻击者希望隐藏自己，可以使用meterpreter中migrate功能隐藏自身，低权限只能迁移至不超过当前权限的进程

![](/media/202205//1652257956.2072399.png)

![](/media/202205//1652257956.2363193.png)

1. 再去win7下查看任务管理器中，发现bind\_4444\_55\_3这个进程不见了

![](/media/202205//1652257956.263823.png)

# post/windows/gather/checkvm

检测是否为虚拟机

![](/media/202205//1652257956.29272.png)

# post/windows/gather/enum\_applications

获取安装软件的信息

![](/media/202205//1652257956.322671.png)

# post/windows/gather/enum\_patches

获取补丁信息

![](/media/202205//1652257956.3495588.png)

# post/windows/gather/enum\_domain

查找域控制器

# exploit/windows/local/ask

用于提权，以高权限返回靶机的shell，但是没有绕过UAC，需要靶机确认允许才可以，具体过程如下图

![](/media/202205//1652257956.3766747.png) ![](/media/202205//1652257956.4033642.png) ![](/media/202205//1652257956.440423.png)

# Persistence与Metsvc

我们需要先提升权限，默认meterpreter提供getsystem，可以看到我们没有system权限

![](/media/202205//1652257956.4704683.png)

基于绕过UAC的思路来完成提权

![](/media/202205//1652257956.4973526.png)

Metsvc

上图中我们可以看到创建了端口31337上的meterpreter服务，创建了一个临时安装目录，上传了metsvc.x86.dll，metsvc-server.exe，metsvc.exe，然后安装了metsvc服务，启动了metsvc服务，提示成功安装metsvc服务，但是这种方式隐蔽性差，在任务管理器中就可以查看出来，如果用户结束这个进程，那么就失效了

![](/media/202205//1652257956.528275.png)

Persistence

启动项启动的方式，通过靶机以反弹回连来连接攻击者的服务器，如果权限问题导致设置未生效，并不会有回显，靶机上的防火墙一般对于此方式的操作都会放行，因此存活率较高，但是此方法容易被杀毒软件查杀，并且在C:\WINDOWS\TEMP\这个目录下会有一个VB文件

![](/media/202205//1652257956.5596192.png)

-U：用户登陆时自动启动代理，该方式会在下图标红出添加注册表信息

![](/media/202205//1652257956.5943983.png)

-i：每次连接之间尝试的连接间隔时间（秒）

-p：监听端口

-r：监听机器IP地址

![](/media/202205//1652257956.6226132.png)

![](/media/202205//1652257956.6548235.png)

![C:\Users\ADMINI~1\AppData\Roaming\LanxinSoftCustom\Resource\Pictures\2285568\lx_clip1567143346352.jpg](/media/202205//1652257956.6940708.jpeg)

持久化：

我们先监听win7这台机器，如下图

![](/media/202205//1652257956.7219622.png)

这时我们重启win7，看是否会重新连接上

![](/media/202205//1652257956.7510643.png)

![](/media/202205//1652257956.7831194.png)

可以看到，当我们重启后，选择用户登陆后，监听就自动连接上了