前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >CVE-2019-0708微软RDP远程代码执行漏洞复现

CVE-2019-0708微软RDP远程代码执行漏洞复现

作者头像
ChaMd5安全团队
发布2019-09-10 17:11:59
2.3K0
发布2019-09-10 17:11:59
举报
文章被收录于专栏:ChaMd5安全团队ChaMd5安全团队

前言

BlueKeep(CVE-2019-0708)是微软远程桌面协议(RDP)实现中发现的一个安全漏洞,它允许远程执行代码。

第一次于2019年5月被报告,它存在于从Windows 2000到Windows Server 2008 R2和Windows 7的所有未修补的基于Windows NT的Windows版本中。而2019年9月6日,BlueKeep的EXP脚本被公开。

复现

早上起来朋友圈被rapid7公布2019-0708漏洞的exp刷屏了,赶紧复现一波。首先这个exp代码是别人pull requests的,还并没有合并到主分支,自动更新是没有的,所以需要手动添加,作者发的一共有4个文件:

  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

在kali的metasploit中复现。首先,需要替换文件,替换之前建议执行下msfupdate,更新到最新版本,确保代码一致。

代码语言:javascript
复制
rdp.rb替换/usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb替换/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb替换/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

最后一个是rce的exp,需要添加,

代码语言:javascript
复制
/usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

如果自己手动安装msf的话,找到安装目录,进去替换。

之后执行msfconsole,在使用前执行reload_all,新加的模块重载进来。

代码语言:javascript
复制
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

info查看信息,目前的exp仅支持64位win 7 sp 1,2008 R2

之后就是靶机,目标系统类型

代码语言:javascript
复制
set RHOSTS x.x.x.x
show targets
set target 1

因为当前用parallels desktop,设置target为 1,在测试时候发现会发大概250M的包,类型选对了,还是会有概率发生蓝屏的现象。

修复建议

  1. 安装微软为2019-0708推出的专用补丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
  2. 如果安装补丁不成功,或者因为其他原因不能安装补丁,建议采取缓解措施,win7或win server 2008 r2里选择“我的电脑”→“属性”→“远程设置”→“远程”,启用网路级认证(NLA),这样需要一个远程桌面用户认证后,才能进行攻击。

参考链接

  • https://github.com/rapid7/metasploit-framework/pull/12283
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
  • https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-09-07,如有侵权请联系 cloudcommunity@tencent.com 删除
https
网络安全
windows
github
git

本文分享自 ChaMd5安全团队 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

https
网络安全
windows
github
git
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 前言
  • 复现
  • 修复建议
  • 参考链接
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论