昨天(2019.9.7)圈子里疯狂了,都在讨论CVE-2019-0708的复现,我在tools交完作业后就开始着手复现该漏洞,经过测试,Windows 7 SP1 / 2008 R2 (6.1.7601 x64)都是可以成功getshell的。
一、漏洞介绍
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。CVE-2019-0708漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器入侵,中病毒,像WannaCry 永恒之蓝漏洞一样大规模的感染。
二、漏洞复现之环境准备
1.下载windows 7版本(其中windows7 一定要用旗舰版,这里提供的就是旗舰版本的链接)
ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/
2.下载windows 2008 R2版本
ed2k://|file|cn_windows_server_2008_r2_hpc_x64_dvd_552764.iso|2959194112|1941C1937261AB4F6F9A28F86FE3DAC0|/
3.EXP下载
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
4.移动EXP到msf中
cp rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/ cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/ cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/ (如果提示rdp目录不存在,自己新建一个就可以了,顺便给个chmod +x权限就行) cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
三、漏洞复现之windows7 测试
首先进行win7版本的测试,测试之前请确保你主机能ping通目标机,并且目标机开放了3389端口权限。
打开msf
重新加载所有模块,以保证能够读取到你之前转移到msf的漏洞利用模块。
使用cve-2019-0708模块,然后查看信息。
设置好rhosts和targer参数,然后开始运行。
成功获取到shell,使用whoami命令成功看到是system权限,但是使用systeminfo命令的时候可以看到下面的中文乱码了,原因是liunx的编码是UTF-8,而windows下是GBK编码,要想中文不乱码有两种方法,一个是改终端编码为GBK编码,另外一种就是修改windows的编码为UTF-8,总之统一两个系统的编码就可以了。
修改windows的编码为UTF-8,可以使用命令
chcp 65001
四、漏洞复现之windows 2008 R2测试
windows 2008 R2版本需要修改注册表[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp\fDisableCam]值修改为0(不然会出现蓝屏)
其他也没什么区别,我就不放图了。
五、漏洞复现之总结
其实也就是一个踩坑总结。
1.如果你出现msf无法成功复现的经历,请set target 0-4一个一个的测试,如果还不行的,那就是无法直接利用了。
下方是target到底设置几的参数说明,0代表自动根据指纹自动判断情况(亲测不好用),1代表真实机器,2代表目标系统在virtualbox虚拟机下运行,3代表目标系统在VMWare虚拟机下运行,4代表目标系统在Hyper-V虚拟机下运行。
Available targets: Id Name -- ---- 0 Automatic targeting via fingerprinting 1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64) 2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox) 3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare) 4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)
2.目前为止,试了30+的公网机器,都无法getshell,感觉msf这个payload有点雷声大雨点小。
3.很奇怪的是,这次国外的大佬们都没怎么太在意这个漏洞复现(几乎都是2~3月前的漏洞利用解读),不过国内热情很高。
六、CVE-2019-0708漏洞修复补丁以及安全建议
有些windows 2008系统打不了补丁的一般是数据中心版本,可以设置一下服务器,计算机右键属性-远程设置-仅允许运行使用网络基本身份验证的远程桌面的计算机连接(更安全)(N),在这行点勾,然后确认即可,可以临时的防止漏洞的攻击。
如果对补丁不知道该如何修复的,可以启用阿里云的端口安全策略,禁止掉3389远程端口,只允许自己的IP通信即可。
1.Windows Server 2008 漏洞补丁系列下载地址
Windows Server 2008 32位系统:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 x64位系统:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu
Windows Server 2008 R2 Itanium系统:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64系统:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2008 Itanium:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
2.Windows Server 2003 漏洞补丁系列下载地址
Windows Server 2003 32位系统:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 64位系统:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
3.Windows XP 漏洞补丁系列下载地址
Windows XP SP3 32位系统:
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 64位系统:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows XP SP3 for XPe:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
参考:https://qiita.com/shimizukawasaki/items/024b296a4c9ae7c33961