ARP那点事，以及永恒之蓝

今天公司停电了，当然开发机（centos 7）也关机了。

来电后，开发人员 反馈说，开发机上不了网。

tcpdump 发现 从 172.16.40.12（开发机）-------> 172.16.40.1（网关），只看到第一个tcp syn 包，没有看到网关回的第二个ack包。

1）于是开始了下面图片中的ping测试，同时也打开tcpdump看ICMP包。

先敲好命令（还没执行）

2）执行

从右边的tcpdump只看到ping 的 request请求包，没有看到answer回包

3) 过了一会儿，左边才出现了ping的回包，但一会儿后，左边又停下来了，这时看到 右边又是只看到ping 的 request请求包，没有看到answer回包

4） 看图片的下部分，开始执行arping 命令 广播给网关 172.16.40.12的mac地址，这时马上看到左边的ping有回包了

这么看来，明显是网络内有另一台机器的 IP也是172.16.40.12（和开发机相同）

同时在别一台机器，体验机（centos 7）ping 172.16.40.12 发现收到两个回包，也验证了 网络内有另一台机器的 IP也是172.16.40.12（和开发机相同）

nmap 扫了一下这台机，看起要像某位同事的电脑，但问了一下都没有人应。

好家伙，没人应，一看扫描结果，有445端口，马上想到了 【永恒之蓝】漏洞，对没打过补丁的windows 7简直是百分百被黑进去。

centos 7上开始安装 msf。

启动msf 控制台

下载NSA泄漏出来的【永恒之蓝】的攻击代码

v_v 我都准备开始攻击了，CSL-PC这个人不知道从哪儿出来（估计是厕所）说，是他的机器，就让他把IP改了。

不用攻击了