Windows经典漏洞-MS17-010（学习分享）

中华人民共和国网络安全法

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具:明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

以下操作都是在合法的靶场进行操作，如果我这篇文章哪里有操作不对，或者错误的地方，希望各位大佬可以指出，我会积极进行整改

一，介绍

永恒之蓝是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。

二，演示流程

用：nmap -sV -p445 --script=smb-vuln-ms17-010 目标IP去扫描目标主机是否存在该漏洞（永恒之蓝）：nmap（是网络扫描和安全审计工具的作用） -p445（是代表445端口）--script=smb-vuln-ms17-010（是漏洞扫描模块） 看目标主机是否存在MS17-010的这个漏洞，然后如果有这个漏洞下一步是进行攻击，输入指令msfconsole进行，（msfconsole：工具（俗称美少妇）kali里面有自带这个模块）输入search ms17-010来查找模块 ，输入use 0（使用 0 exploit那个目标）进入该攻击模块（显示msf6 exploit（windows/smb/ms17_010_eternalblue:这些是红色字体））就代表成功，可以对目标主机进行实时攻击了 ，输入show options(查看模块可选项)，输入attack或者run,输入run vnc(尝试监控对方桌面看是否攻击入侵成功)如果显示对方桌面就代表成功——（如果要退出就按住Ctrl+C退出）

三，怎么预防永恒之蓝这个漏洞攻击呢

• 安装MS17-010补丁：这是最根本的防护措施
• 及时更新Windows系统，保持最新安全补丁
• 关闭445端口：在防火墙阻止SMB协议的445端口
• 限制SMB访问：只允许必要的内部访问

隐藏用户添加，和替身影子

需要先把权限切换为最高管理权限，在搜索框搜索cmd然后右击，以管理员身份运行，然后就可以执行哪些用户管理命令就行了，填写用户组或者用户

步骤：在目标机子上，在搜索框搜索cmd然后右击，以管理员身份运行，用创建普通用户：net user 用户名 密码 /add这个命令执行，但是要在公户名后面紧挨着添加一个$符号就好了（不过这个隐藏只是在net user这里查看不到，你在计算机本机用户组里是可以看到的）

替身影子，比如把隐藏用户做成admin的影子，或者administrators等其他影子 流程为：先远程登录到目标电脑，然后打开目标电脑命令窗口widows+R输入regedit打开系统注册表，选择第三个HKEY_LOCAL_MACHINE的三角形下列，然后点击SAM的三角形下列，然后选择第二个SAM右击权限，在安全里面点击administrators这个，把没有开启允许的对钩勾上点击应用和确定就好了，

然后点击查看刷新几遍后SAM会有新的文件我们给他打开 ，还是选择SAM的三角形下列，然后选择Domains的三角形下列，在选择Users的三角形下列，在选择Nmes的三角形下列,Users代表用户资料Nmes代表用户名字，点击你创建好的隐藏用户某某$,右边类型会显示0x3e0或者其他，点击隐藏用户某某$右击选择点击导出，保存到桌面（文件名根据情况编辑不影响），然后根据隐藏用户某某$，类型显示的0x3e0或者其他，选择上面的3E什么什么，然后给他也导出到桌面，然后点击你要做谁的影子，根据他的类型选择上面的信息资料再导出到桌面，然后点击影子的信息资料右击选择编辑，复制F值=后面的数值，然后再选择mac的信息资料右击选择编辑把F值=后面的数值替换为目标影子的F值=后面的数值然后ctrl+S保存，接下来在搜索框搜索cmd然后右击，以管理员身份运行，在这个命令窗口里面删掉隐藏用户某某$的用户信息 ，

然后接下来把桌面是的隐藏用户某某$，用户名和信息数据导入到系统，流程为：双击打开然后后面提示点击确认就行。完了之后再把系统注册表复原，流程为，点击第二个SAM右击点击权限，点击安全选择administrators这个，把之前勾上的取消掉回复最初的权限。 （以上就是隐藏用户的添加流程，如那有错误，各位大佬可以直接指出）

预防这个隐藏用户和替身影子

直接在系统信息注册表查看是否有没有这种隐藏用户或者替身影子