CVE-2019-0708(BlueKeep)
远程桌面代码执行漏洞与靶机复现
1.漏洞介绍
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证,无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用,与2017年WannaCry勒索病毒的传播方式类似。
2.漏洞原理
存在漏洞的远程桌面服务器,在接收到特殊数据包时会释放一个内部信道MS_T120的控制结构体,但并未将指向该结构体的指针删除,而且在远程桌面连接结束之后还会调用 MS_T120结构体内的一个函数指针,若攻击者可通过远程发送数据重新占据被释放的MS_T120,并为结构体内的函数指针赋恰当的值,即可实现远程命令执行。
3.影响版本
目前已知受影响的 Windows 版本包括但不限于:
Windows 7
Windows Server 2008
Windows Server 2008 R2
Windows Server 2003
Windows XP
Windows 8和windows 10以及之后的版本不受此漏洞影响
4.靶机环境搭建
本次复现的靶机环境为Windows 7 SP1的旗舰版
靶机下载链接:
https://pan.baidu.com/s/14aSIZgOebdLmeI2l9lGx_w
提取码:bw7m
5.靶机配置
导入ISO文件光盘镜像文件
升级一下系统版本
输入序列号:
6K2KY-BFH24-PJW6W-9GK29-TMPWP
开启远程桌面服务
查看靶机IP。
6.攻击机Kali漏洞利用
启动msf,使用reload_all重新加载0708的利用模块。
搜寻bluekeep利用模块
查看options
配置靶机IP:
查看target,设置target为我们的靶机所对应的版本:
开始攻击:
拿到shell:
在复现过程中可能会出现导致靶机蓝屏重启:
此时需要退出msf,重复之前的步骤即可成功复现。
原文始发于微信公众号(智检安全):BlueKeep远程桌面代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论