Windows远程桌面效劳破绽(CVE-2019-0708)复现测试 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Windows远程桌面效劳破绽(CVE-2019-0708)复现测试

申博_安全预警 申博 106次浏览 已收录 0个评论

破绽概述

2019年5月14日,微软宣布了针对长途桌面效劳的症结长途实行代码破绽CVE-2019-0708的补丁,该破绽影响某些旧版本的Windows。进击者一旦胜利触发该破绽,便能够在目的体系上实行恣意代码,该破绽的触发无需任何用户交互操纵。这就意味着,存在破绽的计算机只需联网,无需任何操纵,就可能遭受黑客长途进击,运转歹意代码。其体式格局与2017年WannaCry歹意软件的流传体式格局相似。胜利应用此破绽的进击者能够在目的体系完成装置应用程序,检察、变动或删除数据,建立完整接见权限的新账户等操纵。

影响局限

该破绽影响旧版本的Windows体系,包含:

Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

Windows 8和Windows 10及以后版本不受此破绽影响。

破绽修复测试

测试环境

将下载的exp离别放入或替代:

/usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb

/usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

Msf晋级

运用敕令msfupdate,按提醒,apt update;

apt install Metasploit-framework,末了reload_all就能够了。

启动Metasploit

用search搜刮0708,运用use exploit/windows/rdp/cve_2019_0708_bluekeep_rce启用0708RDP模块进击

SharpSniper利用分析

0x00 前言 SharpSniper用于在域环境中找到指定域用户的IP地址,需要具有读取域控制器日志的权限,地址:https://github.com/HunnicCyber/SharpSniper 本文将要对SharpSniper的实现原理进行分析,扩展用法,分别介绍如何使用wevtutil.exe和powershell脚本实现相同的

用show options举行参数设置

这里只须要设置两项,set rhosts 目的ip(我这里是192.168.106.149),以及set target 3

set target ID数字(可选为0-4)设置受益机机械架构,wmware=3,Virtualbox=2

胜利应用。

到现在公然的应用代码可用于进击 Windows 7 SP1 x64 与 Windows 2008 R2 x64的EXP不太稳固,针对 Windows 7 SP1 x64进击有蓝屏征象。

复现过程当中涌现的一些问题解决方法:

如提醒Exploit failed: NameError undefined local variable or method `rdp_connect’ for,则须要替代下载的exp(4个rb文件);

如提醒ForceExploit毛病,须要将ForceExploit设置为true;

Windows2008 R2 x64 须要修正[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TerminalServer\WinStations\rdpwd\fDisableCam]值为0。

修复破绽更新补丁

装置微软的平安更新来给体系打上平安补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

同时针对已不受微软更新支撑的体系Windows Server 2003和Windows XP供应的平安更新,下载地点:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

减缓步伐(在没法实时装置微软平安更新的情况下作为临时性解决计划)

1.若用户不须要用到长途桌面效劳,发起禁用该效劳。

2.开启收集级别身份验证(NLA),此计划适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。

以上步伐只能暂时性针对该破绽对体系举行部份减缓,强烈发起在前提许可的情况下实时装置微软平安更新。

相干参考

@rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Windows远程桌面效劳破绽(CVE-2019-0708)复现测试
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址