#2022争霸赛*干货满满#EDR轻补丁免疫功能测试

EDR补丁免疫功能测试

一、测试环境

1、 EDR 3.5.24平台，更新到最新规则库

2、 未打MS17-010补丁的win7系统

3、 kali攻击机

二、测试原理

       安装了EDR的客户端拥有轻补丁免疫功能，在免疫漏洞范围内的主机即使未安装补丁也可以免疫相应的漏洞攻击，原理是EDR在payload执行阶段进行阻断。

以MS17-010漏洞举例，未安装漏洞补丁的系统安装了EDR依然可以被漏扫工具扫到smb漏洞，但是使用payload进行攻击是无法攻击成功的，想要不被扫到漏洞需要关闭共享端口或者安装漏洞补丁。

三、测试步骤

1、win7安装EDR后，将EDR禁用，使用kali攻击测试

2、win7系统启用EDR后，使用kali攻击测试

3、win7系统退出EDR客户端（终端依然在线），使用kali攻击测试

4、Win7系统和MGR平台离线，使用kali攻击测试

5、win7系统和MGR离线后，退出EDR，使用kali攻击测试

四、测试过程

1、 使用kali的msf搜索MS17-010

2、 使用exploit/windows/smb/ms17_010_eternalblue攻击模块

3、 设置攻击目标地址

4、 开始攻击

5、 如果攻击成功可以获取一个shell，可以执行系统命令，例如使用ifconfig查看网卡信息

五、测试结果

1、win7安装EDR后，将EDR禁用，使用kali攻击可以攻击成功

2、win7系统启用EDR后，使用kali攻击被阻断

3、win7系统退出EDR客户端（终端依然在线），使用kali攻击被阻断

4、Win7系统从平台离线，使用kali攻击被阻断

5、win7系统离线后，退出EDR，使用kali攻击被阻断

       注：测试过程见附件

六、测试结论

本次针对ms17-010漏洞进行攻击测试，测试结果显示，未打ms17-010补丁的系统安装了EDR具有ms17-010补丁免疫功能，可以阻断ms17-010漏洞攻击。即使客户端与MGR离线并且退出，也具有相同的免疫效果。

感谢楼主分享，文章记录了一次EDR轻补丁免疫功能的测试，整体介绍的比较清晰，期待楼主后续带来更多有价值的案例分享

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

学习了，这个测试做得不错