红队第5篇：MS12-020蓝屏漏洞在实战中的巧用

 Part1 前言 

大家好，上期分享了一篇Shiro Oracle Padding反序列化漏洞无key的实战文章，这期讲一个MS12-020蓝屏漏洞的真实利用过程。这个案例源于2013年我在读研期间，印象是比较深的。在学校期间，我偶尔会帮网络部那边处理一些网站故障，还帮忙修补过安全漏洞。在那个年代，大学网站的漏洞是非常多的，基本上没有什么WAF设备防护。期间有一个大学网站大概是长时间没有人用，崩溃了，访问一直是卡死状态，服务器密码学校那边也不记得了。于是我就来了一顿操作，帮忙恢复了一下，中间也踩了不少坑。首先肯定是要想办法拿到服务器权限，然后帮学校把密码读出来，下面凭着记忆，把过程写出来。

 Part2 研究过程 

• Web应用层面

首先对这个特殊任务进行分析，首先是Web应用层面上，可以找各种Web漏洞拿权限，比如SQL注入漏洞、上传漏洞、列目录漏洞、XSS盲打后台、找CMS公开或未公开的漏洞、框架漏洞等。但是本次案例中Web应用崩溃了，访问不了，所以这个思路不适用。

• 中间件层面

Web应用没法搞，接下来重点看中间件上有没有可突破的点。从搜索引擎网页快照上看，大致判断中间件是IIS6.0。对于IIS中间件，可利用的漏洞有IIS PUT文件上传、IIS5.0远程代码执行、HTTP.sys远程代码执行漏洞（MS15-034）、IIS6.0远程溢出漏洞（CVE-2017-7269）等。在2013年，那时候IIS6.0中间件还没有爆出远程溢出漏洞（CVE-2017-7269），MS15-034这个漏洞没有能拿权限的exp，IIS中间件也没有开启PUT上传功能，所以是没办法直接PUT上传写shell。中间件这条路基本上也走不通。

（ 下面放一个老工具的图，怀旧一下，zwell和桂林老兵写的，在10几年前检测IIS漏洞很好用，zwell就是现在goby和fafo搜索引擎的作者）

• 服务器IP层面

中间件IIS也没有漏洞可利用，那么只能把精力放在服务器层面上了。接下来nmap全端口扫一下服务器IP，看看开放了哪些端口。结果开放了135、139、445、80、3389端口（我处于学校内网中，所以445端口是开着的），操作系统识别为Win2003。

接下来分析一下这几个端口的服务有哪些可利用的漏洞：

135端口：可爆破Administrator的密码，135端口早年爆出过远程代码执行漏洞，但是貌似是02年还是03年左右的漏洞了，太老了，没法利用。我记得那时候很多人流行用135漏洞批量扫IP。

139端口、445端口：这两个端口都可爆破Administrator的密码，这里有些读者可能会想到MS08-067，但是没那么简单，因为当时的各种exp我都试过了，打不成功Win2003中文版系统。

（ 放一个老工具的图，那个年代爆破密码这个工具特别好用，现在这个工具不行了）。

我试了BackTrack（BackTrack是Kali Linux的前身，那时候名字是BT4还是BT5的，记不清了）里的Metasploit打Win2003的中文系统，根本打不成功。我用Metasploit打Windows2003中文系统就从来没成功过，打Windows XP系统可以打成功。后期看雪论坛有人放出了MS08-067的适用于中文系统exp，还有很详细的分析文章，但那是好多年后的事情了，那个exp我后来也测试过，能打成功，但是也不太稳定。当时还没有NSA的方程式工具包泄露，否则很轻易就用MS17-010打下来了。

后来我又下载了国内大牛改的MS08-067的exp，对于Win2003系统同样也打不成功。

（ 放个那时候工具的图，14年前的老工具了，现在可以用方程式工具包替代 ）

接下来对445端口爆破账号密码，445端口爆破密码要比135、139、3389速度快很多，在内网环境中，有时候一秒就可以破几百次，挂了一个超大字典，结果没跑出密码。

组后只剩下3389端口了，3389服务可以爆破密码，但是速度是比445要慢太多了。况且刚才445的SMB服务，也没爆出密码，所以3389爆破密码是多余的。

•  MS12-020蓝屏漏洞

这样貌似就没办法了，等到晚上去食堂吃饭，在回来的路上灵光一闪，来思路了！3389的RDP服务不是曾经爆出一个漏洞MS12-020吗？那么干脆用这个漏洞把服务器打蓝屏，重启一下服务器，网站不就恢复正常了吗？

但是为了谨慎起见，我想到了以下几个情况：

1、MS12-020蓝屏后，Win2003会不会重启？可别一直卡在那里就不动了。

2、重启后IIS服务器是不是能自启动，别重启后，IIS6.0服务起不来了。

为了确保万无一失，还是搭建虚拟机环境测试一下吧，我本地搭建了一个虚拟机环境，使用Metasploit的MS12-020漏洞攻击后，蓝屏后几十秒，服务器就重启了，IIS6.0默认是自启动的，也可以顺利起来。没有问题，蓝屏这个思路可以在实战中应用。

于是开始实战了，结果意外出现了，不知道为什么，Metasploit的MS12-020的exp怎么打都不蓝屏，打了7、8遍没打蓝屏。

接下来怎么办，我在想，学校的这种系统很少有打补丁的情况，在当时，大学网站是不太关心网络安全问题的。想来想去换个exp再试试吧，于是我从网上下载了另一个利用程序，用nc发一个包过去（当时nc很流行，测试上传漏洞都是用nc来测试的），结果服务器立马就蓝屏了。蓝屏后，服务器自动重启，部署在IIS上的网站也恢复正常了。

（ 放一个其它工具的图吧，我清楚地记得当时是用nc载入一个poc文本文件发包利用成功的，但是工具找不到了，没法贴图了 ）

蓝屏后是这个样子，过几十秒系统会自动重启，一切自启动的服务恢复正常。

网站恢复正常后，后续通过Web应用的后台上传漏洞打进去恢复密码的，都是常规思路，这里就不多讲了。

 Part3 总结 

1.  虚拟机环境与实战环境是不一样的，一个漏洞准备多个EXP看来很有必要。

2.  蓝屏漏洞有时候也可以派上用场，具体情况具体分析。在日常红队项目中，大家尽量提前跟客户报备一下，因为现在一个服务器上放的业务很多，蓝屏重启可能造成不可挽回的损失，这里只是提供一个思路。

3.  Tomcat等中间件在Windows下尽量别用这个方法了，因为很多都是批处理脚本启动的，重启后，就起不来了。

专注于红队、蓝队技术分享

每周一篇，敬请关注

原文始发于微信公众号（网络安全abc123）：红队第5篇：MS12-020蓝屏漏洞在实战中的巧用