exploiting-ms17-010-eternalblue-vulnerability

MS17-010(EternalBlue)是微软 SMBv1 实现中的一个严重漏洞,允许远程代码执行。最初由 NSA 发现,2017 年被 Shadow Brokers 泄露,曾被用于 WannaCry 和 NotPetya 勒索软件攻击活动。

9 stars

Best use case

exploiting-ms17-010-eternalblue-vulnerability is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

MS17-010(EternalBlue)是微软 SMBv1 实现中的一个严重漏洞,允许远程代码执行。最初由 NSA 发现,2017 年被 Shadow Brokers 泄露,曾被用于 WannaCry 和 NotPetya 勒索软件攻击活动。

Teams using exploiting-ms17-010-eternalblue-vulnerability should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/exploiting-ms17-010-eternalblue-vulnerability/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/exploiting-ms17-010-eternalblue-vulnerability/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/exploiting-ms17-010-eternalblue-vulnerability/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How exploiting-ms17-010-eternalblue-vulnerability Compares

Feature / Agentexploiting-ms17-010-eternalblue-vulnerabilityStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

MS17-010(EternalBlue)是微软 SMBv1 实现中的一个严重漏洞,允许远程代码执行。最初由 NSA 发现,2017 年被 Shadow Brokers 泄露,曾被用于 WannaCry 和 NotPetya 勒索软件攻击活动。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 利用 MS17-010 EternalBlue 漏洞

## 概述

MS17-010(EternalBlue)是微软 SMBv1 实现中的一个严重漏洞,允许远程代码执行(RCE)。最初由 NSA 发现,2017 年被 Shadow Brokers 泄露,被用于 WannaCry 和 NotPetya 勒索软件攻击活动。尽管自 2017 年 3 月起已有补丁,但许多组织仍有未打补丁的系统,使其成为特别在传统环境中可行的红队利用向量。

## MITRE ATT&CK 映射

- **T1210** - 远程服务利用
- **T1190** - 利用面向公众的应用
- **T1569.002** - 系统服务:服务执行

## 实施步骤

### 阶段一:漏洞扫描
1. 扫描目标网络的 SMB 端口 445
2. 检查 SMBv1 协议支持
3. 运行 MS17-010 漏洞检查(Nmap NSE 脚本或 Metasploit 辅助模块)
4. 记录具有操作系统版本和补丁级别的易受攻击系统

### 阶段二:利用漏洞
1. 根据目标操作系统选择适当的漏洞利用变体
2. 配置利用载荷(Meterpreter、Cobalt Strike beacon、自定义 shellcode)
3. 对已确认的易受攻击目标执行利用
4. 验证代码执行并建立会话

### 阶段三:后渗透
1. 在被控系统上建立持久化
2. 从内存中转储凭据
3. 将被控主机作为枢纽点
4. 记录利用证据

## 工具与资源

| 工具 | 用途 |
|------|---------|
| Nmap ms-17-010 NSE 脚本 | 漏洞检测 |
| Metasploit ms17_010_eternalblue | 利用模块 |
| Metasploit ms17_010_psexec | 替代利用方法 |
| AutoBlue-MS17-010 | 独立 Python 利用工具 |
| CrackMapExec | 批量 SMB 漏洞扫描 |

## 检测指标

- 针对 EternalBlue 利用流量的 IDS/IPS 特征
- 来自异常源主机的 SMBv1 协商
- 事件 ID 7045:利用后安装新服务
- SMB 上的异常命名管道活动
- 具有缓冲区溢出特征的大型 SMB 写入请求

## 验证标准

- [ ] 通过扫描识别了易受攻击的系统
- [ ] 在授权目标上实现了漏洞利用
- [ ] 通过已建立的会话确认了代码执行
- [ ] 已记录后渗透活动
- [ ] 已提供修复建议

Related Skills

testing-api-for-mass-assignment-vulnerability

9
from killvxk/cybersecurity-skills-zh

测试 API 是否存在批量赋值(mass assignment,自动绑定)漏洞——攻击者可在 API 请求中附加额外参数,从而修改本不应被访问的对象属性。测试人员识别可写端点,向请求体注入未公开字段(role、isAdmin、price、balance),验证服务器是否在未过滤的情况下将这些字段绑定到数据模型。属于 OWASP API3:2023 Broken Object Property Level Authorization 范畴。适用于批量赋值测试、参数绑定滥用、自动绑定漏洞或 API 过度发布(over-posting)相关请求。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。

performing-ssrf-vulnerability-exploitation

9
from killvxk/cybersecurity-skills-zh

通过探测云元数据端点、内网服务和协议处理器,检测用户可控 URL 参数中的 服务端请求伪造(SSRF)漏洞。测试 AWS/GCP/Azure 元数据 API(169.254.169.254)、 通过 HTTP 进行内网端口扫描、URL 协议绕过技术以及 DNS 重绑定检测。

performing-ot-vulnerability-scanning-safely

9
from killvxk/cybersecurity-skills-zh

使用被动监控、原生协议查询和经过精心控制的Tenable OT Security主动扫描,在OT/ICS环境中安全执行漏洞扫描,在不破坏工业过程或导致旧版控制器崩溃的情况下识别漏洞。

performing-ot-vulnerability-assessment-with-claroty

9
from killvxk/cybersecurity-skills-zh

本技能涵盖使用Claroty xDome平台在OT环境中执行漏洞评估,实现全面资产发现、风险评分、漏洞关联和修复优先级排序。内容涉及通过流量分析进行被动漏洞识别、OT设备安全主动查询、与CVE数据库和ICS-CERT公告集成,以及考虑运营影响和补偿控制措施的基于风险的优先级排序。

performing-endpoint-vulnerability-remediation

9
from killvxk/cybersecurity-skills-zh

通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。

performing-authenticated-vulnerability-scan

9
from killvxk/cybersecurity-skills-zh

认证(凭据)漏洞扫描使用有效的系统凭据登录目标主机,对已安装软件、补丁、配置和安全设置进行深度检查,相比未认证扫描可发现 45-60% 更多漏洞。

performing-agentless-vulnerability-scanning

9
from killvxk/cybersecurity-skills-zh

配置并执行无代理漏洞扫描(agentless vulnerability scanning),利用网络协议、云快照分析和基于 API 的发现方式评估系统安全,无需在端点安装 Agent。

performing-active-directory-vulnerability-assessment

9
from killvxk/cybersecurity-skills-zh

使用 PingCastle、BloodHound 和 Purple Knight 评估 Active Directory 安全态势,识别错误配置、权限提升路径和攻击向量。

implementing-vulnerability-sla-breach-alerting

9
from killvxk/cybersecurity-skills-zh

为漏洞修复 SLA 违规构建自动化告警,包含基于严重程度的时间线、升级工作流和合规性报告仪表板。

implementing-vulnerability-remediation-sla

9
from killvxk/cybersecurity-skills-zh

漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。