admin 管理员组

文章数量: 887021

漏洞描述

Eternalblue通过TCP端口445139来利用SMBv1NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

影响版本

目前已知受影响的Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

复现环境

  • 攻击机:kali-linux-2018.4-amd64(IP:192.168.81.129)
  • 靶机:Windows Server 2003 Enterprise x64 Edition (IP:192.168.81.131)

复现过程

  1. 信息确认
    win03确认当前系统日志情况及ip
  2. 主机发现
    nmap扫描端口,确认靶机默认开放443端口
  3. 使用exp扫描确认ms17-010漏洞的存在
    启动postgresql数据库,msfconsole

    搜索ms17-010相关exploit,启用漏洞扫描exploit auxiliary/scanner/smb/smb_ms17_010

    设置目标主机地址,执行exploit,返回结果确认该主机存在漏洞

    这里我们再次检查windows03的日志,并未发现什么异常
  4. 启用攻击exploit
    首先尝试 exp exploit/windows/smb/ms17_010_eternalblue

    未知原因,不能建立sessions,直接切换 exp exploit/windows/smb/ms17_010_psexec


    成功建立sessions连接
  5. 日志分析
    应用程序/安全性处未发现新出现的日志,在系统日志处发现一些异常信息

2019-1-27	11:21:22	Service Control Manager	信息	无	7036	N/A	ROOT-C9BC37C7DF	Telephony 服务处于 正在运行 状态。
2019-1-27	11:21:22	Service Control Manager	信息	无	7035	ROOT-C9BC37C7DF\Administrator	ROOT-C9BC37C7DF	Telephony 服务成功发送一个 开始 控件。
2019-1-27	11:21:00	Service Control Manager	信息	无	7036	N/A	ROOT-C9BC37C7DF	Performance Logs and Alerts 服务处于 停止 状态。
2019-1-27	11:21:00	Service Control Manager	信息	无	7036	N/A	ROOT-C9BC37C7DF	Performance Logs and Alerts 服务处于 正在运行 状态。
2019-1-27	11:21:00	Service Control Manager	信息	无	7035	ROOT-C9BC37C7DF\Administrator	ROOT-C9BC37C7DF	Performance Logs and Alerts 服务成功发送一个 开始 控件。
2019-1-27	11:21:00	Service Control Manager	信息	无	7036	N/A	ROOT-C9BC37C7DF	Performance Logs and Alerts 服务处于 停止 状态。
2019-1-27	11:21:00	Service Control Manager	信息	无	7036	N/A	ROOT-C9BC37C7DF	Performance Logs and Alerts 服务处于 正在运行 状态。
2019-1-27	11:21:00	Service Control Manager	信息	无	7035	ROOT-C9BC37C7DF\Administrator	ROOT-C9BC37C7DF	Performance Logs and Alerts 服务成功发送一个 开始 控件。

想用sysmon加强一下日志信息,可惜2003不支持

后渗透分析

  1. 查看权限及当前进程的pid
  2. 去靶机中使用命令tasklist查看该进程
  3. 切换到system32目录,使用net增加一个管理员账户
  4. 靶机可见,管理员添加成功,可惜没能找到相关日志
  5. 重启靶机,验证攻击进程rundll32.exe
    火绒剑无法在win2003使用,这里进程查看使用windows官方的procexp64

    kali启动exp后

    易见新增了rundll.exe进程,kill该进程后,kali亦中断连接

  6. 使用wmic命令确定该进程所在的目录

rundll.exe分析


Rundll32是一个可以执行DLL文件内的代码的Microsoft二进制文件。由于此实用程序是Windows操作系统的一部分,因此可以将其用作一种绕过AppLocker规则或软件限制策略的方法。所以如果系统环境没有正确的锁定某些设置,那么用户就可以使用这个二进制文件做一些事情,他们也可以编写自己的DLL,来绕过任何限制或执行恶意的JavaScript代码

利用rundll32.exe运行dll绕过杀毒软件

绕过AppLocker系列之Rundll32的利用

本文标签: 漏洞 日志 Windows

版权声明:本文标题:永恒之蓝漏洞复现(ms17-010) 及windows日志对比分析 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1727102622h1068261.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。