EternalBlue漏洞对windows 8无效
我试过这个poc:
https://gist.github.com/worawit/074a27e90a3686506fc586249934a30e对于我拥有的windows 8目标,代码退出时会出现一个错误,即:
impacket.nmb.NetBIOSTimeout: The NETBIOS connection with the remote host timed out.错误发生在有conn.recvSMB()的地方。
尽管smb在端口445上运行,但所有防火墙和安全规则都被禁用(反病毒、Windows、SmartScan ...etc)。
这是否意味着我的8胜一局对永恒蓝来说是很安全的?另外,Windows防火墙是否足以阻止所有这些SMB攻击?如果是的话,那为什么永恒的蓝色会如此重要呢?我的意思是很多Windows 7/8都是默认激活防火墙的。
编辑:我尝试了一个通用的"exec calc.exe“外壳代码,并尝试了numGroomConn参数中所有可能的数字(3,4,5 ...etc)。
回答 2
Security用户
发布于 2017-11-17 02:16:58
当smb连接到受害者时,Eternalblue可以正常工作。但是,默认的Windows 8和更高版本的安装没有附加的服务信息:-匿名不允许访问任何共享(包括IPC$) -更多信息:https://support.microsoft.com/en-us/help/3034016/ipc-share-and-null-session-behavior-in-windows - tcp端口445被防火墙过滤。
因此,您可以利用Windows 8和更高版本的用户凭据(甚至用户名和哈希)。
Security用户
发布于 2017-11-17 03:00:32
对你不起作用并不代表它是安全的。你应该修补你的盒子。
如果您正在运行未安装修补程序的Windows 8框,请不要指望它是安全的。
如果你的盒子没有修补,有很多原因可以解释它不起作用:
- 您可能尝试了错误的攻击包。您会信任随机的GitHub代码而不首先审核它吗?
- 由于防火墙策略,您可能无法生成反向shell,因此需要绑定shell,或者相反。也许两者都做不到,但RDP是开放的;在这种情况下,使用
windows/adduser作为有效负载。这里有很多事情要考虑--你需要列举你的盒子。 - 您可能需要正确的目标、编码、针对正确的架构、流程等.基本上,您可能没有使用正确的设置。
没有足够的细节我们是帮不了你的。你补好了吗?如果是的话,你应该会没事的。然而,我个人只会禁用SMB1.0,因为这是一个垃圾箱火灾。
https://security.stackexchange.com/questions/160014
复制相似问题
腾讯云开发者
