专栏首页鸿鹄实验室CVE-2019-0708分析

CVE-2019-0708分析

  • 补丁对比
  • 解密RDP流量
  • POC分析

补丁对比

MSRC下载对应系统版本和CVE编号的Security Only,提取文件 expand -F:* update.msu C:<target_dir>

cd <target_dir>

expand -F:* update.cab C:<target_dir>

搜索machine.inf文件,根据漏洞公告,确定漏洞信息

通过.ServiceInstall确认patch后的文件,再结合binbiff分析,定位漏洞

另外一种定位补丁文件的方法,通过Process Monitor

https://wazehell.io/2019/05/22/cve-2019-0708-technical-analysis-rdp-rce/

解密RDP流量

RDP链接顺序

wireshark抓包分析,前三个为tcp/ip握手包,

RDP有TPKT协议封装,右击未识别的数据解码为TPKT。

解密Wireshark TLS加密 使用mimikatz获得pfx文件, 在RDP服务器上运行。 privilege::debug

crypto::capi crypto::certificates -systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE -store:"Remote Desktop" /export 使用openssl获得pem文件, 密码为mimikatz

openssl pkcs12 -in yourdumed.pfx -out mykey.pem -nodes

Wireshark加载pem文件

POC分析

给patch的放下断点一层一层分析,要触发patch需要IcaFindChannelByName返回值为true 函数的功能通过信道名在循环链表中找到信道。 下断点调试

bp termdd!IcaBindVirtualChannels+0x170 "dps poi(rcx+0x98) L5;.echo\"----------\";dps rcx+0x98 L5;.

发现一直通过MS_T120查找通道

被查找通道来自RDP请求MSC initial Create request

MS_T120通道何时创建

会发现IcaCreateChannel函数,

函数逻辑: bp termdd!IcaAllocateChannel+37 "db rsi L10;.printf\"alloca address:%p\",@rax;.echo \" \";"

IcaFindChannelByName通过名字找通道,不存在这个通道就通过IcaCreateChannel创建

ExAllocatePoolWithTag创建空间,然后初始化

IcaFindVcBind返回虚拟通道ID

IcaBindChannel将通道绑定到指定通道ID

信道偏移0xa8指向下一个循环链表,-0x10为名字。

-0x8为id

MS_T120通道会在RDP申请时创建并绑定在0x1f通道号上面,

bp termdd!IcaAllocateChannel+142 "db rsi L10;.echo\"--id--\";db r8 L10;!pool rcx;" bp termdd!IcaBindVirtualChannels+19E "db r8 L10;!pool rcx"

在发送MSC initial Create request请求时IcaBindVirtualChannels会遍历信道名称,如果要有MS_T120

第二次绑定信道将0x1f写为0x3

释放触发漏洞 IcaDereferenceChannel函数

bp termdd!IcaDereferenceChannel+82 ".echo\"-----\n\";dps rdi" bp termdd!IcaAllocateChannel+37 "db rsi L10;.printf\"alloca address:%p\",@rax;.echo \" \";gc;" 两次释放一个内存

第一次将内存释放

第二次再次被释放引发错误。

何时由什么创建MS_T120 根据栈回溯,查模块信息可知,ICAAPI为ICA接口,rdpwsx是RDP扩展模块。

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CVE-2019-0708 漏洞分析及相关测试

    在CVE-2019-0708公布后几天就已经尝试过复现该漏洞,但借助当时exp并没能成功复现反弹shell的过程遂放弃,故借助这次漏洞复现报告再来尝试复现该漏洞...

    FB客服
  • 简单判断是否是cve-2019-0708攻击

    今早一起床,发现cve-2019-0708 exp已经公开。但是作为安服人员,攻击是一回事,应急又是另一大回事。这里就简单来判断受害者机器是否受到了cve-20...

    Jumbo
  • Windows再现“永恒之蓝”级漏洞--CVE-2019-0708

    5月15日,微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可...

    HACK学习
  • 分析 CVE-2019-0708 (BlueKeep)

    和往常一样,我开始使用修补程序修改的二进制文件的BinDiff(在这种情况下只有一个:TermDD.sys)。下面我们可以看到结果。

    洛米唯熊
  • [漏洞复现] 二.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解

    最近开始学习网络安全和系统安全,接触到了很多新术语、新方法和新工具,作为一名初学者,感觉安全领域涉及的知识好广、好杂,但同时也非常有意思。这系列文章是作者学习安...

    Gcow安全团队
  • 威胁预警 | 蠕虫级漏洞BlueKeep(CVE-2019-0708) EXP被公布

    Metasploit 在博客和推特上相继发布消息称,Metasploit正式集成针对CVE-2019-0708(也称为BlueKeep)的漏洞利用模块,虽然目前...

    FB客服
  • 利用MSF检测CVE-2019-0708漏洞

    CVE-2019-0708漏洞被称为“永恒之蓝”级别的漏洞,只要开启Windows远程桌面服务(RDP服务)即可被攻击。

    HACK学习
  • 紧急预警 | Windows 远程桌面服务代码执行漏洞风险预警(CVE-2019-0708)

    近日,腾讯云安全中心监测到微软应急响应中心近日披露了Windows Server 2003, Windows Server 2008 R2 及 Windows...

    腾讯云安全
  • 紧急预警 | Windows Server RDP服务蠕虫利用风险更新预警(CVE-2019-0708)

    近日,腾讯云安全中心监测到微软应急响应中心近日披露了Windows Server 2003, Windows Server 2008 R2 及 Windows...

    云鼎实验室
  • CVE-2019-0708高危漏洞,各家安全厂商的扫描修复方案

    自微软公司于2019年5月14日发布远程桌面服务远程代码执行漏洞(CVE-2019-0708)安全公告后,整个业界都一直在密切关注,这个漏洞必将...

    Bypass
  • CVE-2019-0708微软RDP远程代码执行漏洞复现

    BlueKeep(CVE-2019-0708)是微软远程桌面协议(RDP)实现中发现的一个安全漏洞,它允许远程执行代码。

    ChaMd5安全团队
  • Windows再曝“WannaCry”级漏洞 CVE-2019-0708,专治 XP、Win7

    在WannaCry两周年之际,Windows再次被曝出存在高危远程漏洞。5月15日,微软官方发布了5月安全更新补丁共修复了82个漏洞,其中包含针对远程桌面(RD...

    FB客服
  • 【安全通知】关于Windows 远程桌面服务蠕虫利用风险的高危预警

       近日,腾讯云安全中心监测到微软应急响应中心近日披露了Windows Server 2003, Windows Server 2008 R2 及 Windo...

    陌涛
  • CVE-2019-0708 RDP 远程桌面漏洞 可导致服务器被黑

    Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2...

    网站安全专家
  • CVE-2019-0708 RDP 远程桌面漏洞 可导致服务器被黑

    Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2...

    技术分享达人
  • CVE-2019-0708 微软远程桌面服务远程代码执行漏洞

    漏洞预警 CVE-2019-0708,远程桌面服务最新的远程执行高危漏洞,影响XP到2008 R2。MSRC直接说堪比Wannacry。https://port...

    墙角睡大觉
  • CVE-2019-0708-Bluekeep漏洞利用告警

    ‍‍‍(‍9月7号0点左右)MSF更新了CVE-2019-0708漏洞利用模块,在MSF下使用,但根据官方显示‍,该模块仅针对64位的Win7系统和Serve...

    洛米唯熊
  • CVE-2019-0708,又一个“WannaCry”级漏洞?优衣库遭到黑客攻击丨BUF大事件

    本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,Windows再曝“WannaCry”级漏洞 CVE-2019-0708 ;英特尔新漏洞影响2011年以来几...

    FB客服
  • CVE-2019-0708漏洞检测利用

    Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年...

    Gamma实验室

扫码关注云+社区

领取腾讯云代金券