ms17010;Ms17010复现

各位老铁们，大家好，今天由我来为大家分享ms17010;Ms17010复现，以及的相关问题知识，希望对大家有所帮助。如果可以帮助到大家，还望关注收藏下本站，您的支持是我们最大的动力，谢谢大家了哈，下面我们开始吧！

编者按：美国微软公司14日刚宣告Windows 7系统停止更新，官方停止技术支持、软件更新和安全问题的修复，国内最大的网络安全企业360公司15日就披露，一场复合利用IE浏览器和火狐浏览器两个漏洞的攻击风暴悄然突袭，这意味着国内多达六成、仍在使用Windows 7系统的电脑用户无法从微软官方获得支持，将直面各类利用漏洞等威胁进行的攻击。

“双星”攻击威胁有多大？

从1月14日开始，很多使用Windows 7系统的电脑用户开机时都会看到“Windows 7系统停止更新”的蓝色通知页面。除了关掉页面外，不少人都对此不以为然。但看不见的威胁已经到来。根据360公司的通告，近日爆发的这场被命名为“双星”的0day漏洞攻击，采用前所未有的同时复合利用IE浏览器和火狐浏览器两个0day漏洞的模式。

360集团首席安全技术官郑文彬16日告诉《环球时报》记者，根据360安全大脑监测到的恶意样本，发现攻击者使用组合两个0day漏洞的恶意网页进行攻击，无论IE浏览器还是火狐浏览器打开都会中招。用户在毫无防备的情况下，可被植入勒索病毒，甚至被黑客监听监控，执行窃取敏感信息等任意操作。据介绍，如此威胁巨大的“双星”0day漏洞已疑似被活跃近十余年的半岛APT组织——Darkhotel(APT-C-06)利用。从此次截获的“双星”0day漏洞攻击来看，Darkhotel(APT-C-06)攻击技术骤然升级，已从单个浏览器0day漏洞，跃升为双浏览器0day漏洞利用，威胁与破坏性远超以往。

郑文彬强调说，这次出现的漏洞是Windows 7系统停服后的首个0day漏洞。尽管这次的漏洞不是Windows 7系统专属，但Windows 7系统停服后不会再更新安全补丁。对Windows 7系统用户来说，“双星”漏洞带来的潜在伤害难以预估。目前火狐浏览器的0day漏洞现已被Mozilla官方修复，但是IE浏览器仍暴露于“双星”漏洞攻击威胁之中。

还会出现后续漏洞吗？

据统计，直至2019年10月底，国内Windows 7系统的市场份额占比仍有近六成。微软放弃Windows 7系统更新，且未联合安全厂商继续支持安全防护，这意味着庞大的用户失去了微软官方的所有支持，包括软件更新、补丁修复和防火墙保障，将直面各类利用漏洞等威胁进行的攻击。由此可能带来的后果已经有过先例：2017年5月，WindowsXP系统停服3年后，利用Windows系统SMB漏洞席卷全球的WannaCry勒索病毒，横扫150个国家政府、学校、医院、金融、航班等各领域，让世界坠入勒索漩涡。2019年5月，WannaCry爆发两年之后，堪比“永恒之蓝”的Bluekeep高危远程漏洞，再次让全球400万台主机暴露在漏洞暴风眼下。

为何操作系统的漏洞层出不穷？有没有方法能一劳永逸地解决系统漏洞问题？这次出现的“0day漏洞”，是指系统商在知晓并发布相关补丁前就被黑客组织掌握或者公开的漏洞信息。业内著名的案例是2005年12月8日，几乎影响Windows所有操作系统的WMF漏洞在网上公开，虽然微软在8天后紧急发布了安全补丁，但就在这8天内出现了200多个利用此漏洞的攻击脚本。

由于所有软件都是人编写的，是人做的就会犯错误。相关统计显示，平均每1000行代码里会有4到6个错误。Windows7系统的代码多达数千万行，其中存在漏洞数量之多可想而知，想要彻底消除这些漏洞是“不可能完成的任务”。郑文彬表示，网络攻击无时无刻都在对系统的安全防护进行刺探，因此随时都可能暴露出新的漏洞。很难说会不会有黑客组织利用尚未公开的0day漏洞作恶或等待合适的时机再出手——比如微软宣布Windows7系统停服。值得庆幸的是，尽管黑客攻击可能会因为某个漏洞的曝光让攻击频次达到高峰，但漏洞修复后也会大幅度阻断攻击的途径，让攻击减少。

普通用户如何应对？

毫无疑问，如果windows系统一旦出现新的安全漏洞，用户将不可避免地遭受攻击，个人、企业和相关机构都会受到影响。郑文彬建议，为了减轻Windows 7系统受安全漏洞的影响和防止将来被黑客攻击，安全软件变得至关重要，首先用户需要选择能够真正抵御各类安全威胁的安全软件保护自己。在WannaCry勒索病毒横行时，多国高校以及公共部门的电脑中招，其中重要原因之一就是网络安全意识薄弱，没有及时更新系统补丁，而那些仍在使用早已停止更新服务的WindowsXP系统的用户，也没有安装可靠的安全软件。

国内知名“白帽”沦沦16日接受《环球时报》记者采访时分析称，Win 7系统的停更对普通用户来说风险是较大的。最近微软被爆出多个远程代码执行漏洞，如CVE-2020-0609和CVE-2020-0610，虽然上述漏洞不是针对Win7系统的，但也可以看出停更对于Win7今后的安全性影响还是比较大的。Win7停更给普通用户带来的主要安全风险是未知安全漏洞的利用与攻击，比如像之前的MS17010这种0day级别的漏洞，普通用户被侵入的风险就会比较大。

沦沦解释称，Win7停更之后的具体安全风险，还要取决于新漏洞的影响和利用范围。事实上，Windows系统每年都会有一些安全问题爆出，漏洞是修不完的。举例而言，微软更新的某个功能就有可能存在漏洞，也有可能微软的某个软件出现漏洞，可以和Win7系统进行结合利用等。

沦沦表示，普通用户目前需要做的就是及时更新杀毒软件，平时上网安装的软件最好都去官网下载使用，关闭高风险端口。一般还是建议把系统更新为Win10，这样会更好地保护系统不被人利用漏洞侵入。对于企业和机构用户而言，目前微软公司还会提供安全更新，但在未来有可能也会遇到停更，用户的风险也增加了。

郑文彬表示，更根本的解决方案是用户尽快升级到Win10操作系统，这样能得到微软官方更好的安全支持。

针对这次“双星”漏洞攻击事件，360公司提醒说，请勿随意打开未知来路的office文档。尤其是Windows 7系统用户，应及时做好准备、全力应对系统停服后带来的安全问题，可通过权威网络安全公司提供的Win7安全防护措施提升电脑安全性。同时，提醒各相关企、事业单位，警惕利用“双星”漏洞发动的定向攻击，密切跟踪该漏洞的最新情况，及时使用安全软件防御可能的漏洞攻击。

微软也提供了应对方法。一是对于拥有一台PC还不到3年的用户，可以尝试付费升级，软件起售价139美元；二是对使用PC已达3年以上的用户，建议直接购买已经内置有Win10系统的新PC。

如何通过组合手段大批量探测CVE-2024-38077

近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。

CVE-2024-38077自披露以来流传过几个poc工具，但使用过后留下的只有某某服的exe版本。可能出于保密原因，这个工具不支持的功能太多，本文就不一一列举，采用排除法自行脑补。支持的参数是指定某个IP或者某个IP段进行扫描，然后没了，就像这样：

但是这样扫来扫去无法满足需求，遇到的几个典型问题就是：

• 扫的为什么很慢？
• 从外部导入IP怎么办？
• 如何从大批量资产中筛选出有漏洞的？

探测辖区内或者某一地区的资产当然离不开空间测绘工具，fofa、鹰图、shaodan、zoomeye等著名的自然要尝试一遍，搜索的关键词首先是国内+3389和135端口+windows server操作系统，协议的话可以组合RDP/RDL，这样一来搜出的资产会多达几百万条，百万量级的数据处理起来对于我们这种小散户而言属于天方夜谭。况且这些空间测绘平台中有的甚至不支持非会员大数据量查询，像shaodan这样能够显示出来已经是仁慈的了：

结果虽然搜索出来了，但是百万级的数据是拿不到的。一是不支持多端口筛选，二是不支持导出（非会员）。

这里先解决第二个问题，如何导出搜索结果？突然想起了许久未用的空间测绘工具——kunyu（坤舆）。运行起来，进去执行搜索是这样：

检查了好多遍，语法没问题。不明觉厉之际，联系了kunyu的作者@风起。询问才知道ZoomEye的普通账号权限已经不支持kunyu了。唉，只能厚着脸皮借来账号一用。

然后就是重新初始化、配置输出目录、配置查询页数……这次导出的关键就在page参数上。kunyu默认的page是1，每次显示10条，即输出的Excel中有10条数据。如果设置为1000，则会显示10000条数据，导出的数据也就是10000条，但是这样一来查询效率会大大降低。经过测试，将page设置为100是较为合适的，也就是每次显示1000条。另外配合时间参数after、before以及区域参数city、subvisions将单次搜索总量控制在1000条以内，这样就可以不漏掉资产。

最后经过一番折腾，搜索了60多次，合并多个文件后，终于生成了一份5万条左右的Excel……既然有了一堆IP，接下来该进行的就是如何把这些IP导入工具开扫。但此时的poc工具是不支持外部IP导入的，并且对于“Can Not Reach Host.”之类的资产扫描进度会很慢，所以要考虑如何兼顾效率和准确性的问题。

【—-帮助网安学习，需要网安学习资料关注我，私信回复“资料”免费获取—-】① 网安学习成长路径思维导图② 60+网安经典常用工具包③ 100+SRC漏洞分析报告④ 150+网安攻防实战技术电子书⑤ 最权威CISSP 认证考试指南+题库⑥ 超1800页CTF实战技巧手册⑦ 最新网安大厂面试题合集（含答案）⑧ APP客户端安全检测指南（安卓+IOS）

由于之前经过测试，对于确实存在漏洞的资产，poc的响应是很快的。CVE-2024-38077的利用条件之一是同时开放135和3389端口，而空间测绘工具搜索的结果是未验证135的，所以接下来的思路是使用Nmap对5万个资产探测一下两个端口的开放情况，然后根据输出结果筛选出两个端口均为open状态的IP，最后尝试将筛选出的IP导入poc工具扫描。

这个阶段也尝试过fscan等其他工具，但是比较下来Nmap的输出是最整齐的（前提是控制输入参数），方便后续处理：

从输出文件可以看出，除了第一行是注释，下面的内容都很有规律，每六行是对一个IP的描述，包含135和3389两个端口，而且格式都固定。由于需求要的是开放两个端口的所有IP，现成的工具没有能够满足的，只能自己写，又一次掏出了idea……

从Nmap的输出结果不难分析，如果要写代码处理的话，每六行可以看成是一个Nmap类，而这个类里面只需要3个属性，IP、port-135、port-3389。直接上代码：

到这里整个任务已经完成了一半，精准的资产已经筛选出来了，大概2400多个。接下来就是使用poc工具扫描了，毕竟两千多条数据，总不能手动设置两千多次吧，所以还是要写代码：

这里贴出的只是关键的两段代码，完整项目见文末链接。最后将项目打成jar包，与CVE-2024-38077.exe和Nmap输出文件放在同一目录下：

开启powershell运行jar包，设置poc参数为CVE-2024-38077，同时指定输入IP的文件路径和输出文件路径，等待扫描完后得到存在漏洞的资产列表。

CVE-2024-38077漏洞的探测难点在于一是没有成型的工具，二是空间测绘出来的大批量资产如何导出与二次筛选。本文的思路只是临时方案，相信后面会有大神公开其exp，最终出现像MS17010一样的工具。

需要此项目，私信发地址。

关于本次ms17010;Ms17010复现和的问题分享到这里就结束了，如果解决了您的问题，我们非常高兴。