• Home
  • About
    • tearorca photo

      tearorca

      Wishful thinking have to be willing to bet on clothing!

    • Learn More
    • Google+
    • Github
  • Posts
    • All Posts
    • All Tags
  • Projects

cve-2019-0708漏洞复现

21 Sep 2019

Reading time ~1 minute

  • cve-2019-0708漏洞复现
    • 漏洞介绍
    • 影响范围
    • 漏洞原理
    • 漏洞复现
    • 参考链接

cve-2019-0708漏洞复现

漏洞介绍

Windows系列服务器2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp 系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。因为不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去,所以该漏洞被称为2019年最严重的漏洞,同时这个漏洞是可传播的,这将导致这个漏洞如果被利用则将感染大量用户,不弱于2017年的WannaCry和永恒之蓝。

在2019年9月7号,metasploit发布了该漏洞的第一个公共漏洞模块,针对win7_x64和win2008 R2版本,也就是公布了第一个exp利用。当天确实引起了安全圈的震荡,无论是朋友圈还是关注的公众号全部都是这个消息。

image.png

影响范围

Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows 2003 Windows XP

漏洞原理

大概是因为网络安全宣传周的原因,导致自己搭的ssr服务器挂了,无法翻墙,国内找的关于这个漏洞的文章全部是介绍危害和修补办法,基本没有介绍原理的,就找到了一个,分析得我也有点懵逼,所以这里就简单分析一下,等能翻墙了,再找找有没有更详细的分析。

那位大佬的分析是直接进行了补丁比较

image.png

前后对比发现多了一个对MS_T120协议通道的判断,如果为MS_T120协议则设定IcaBindChannel的第三个参数为31然后会进行MS_T120的绑定,之后释放了MS_T120,当我们再次向系统的MS_T120通道发送数据,再次引用被关闭的通道,从而导致 UAF 漏洞。

漏洞复现

目标机配置:

image.png

先打开3389端口

image.png

ip配置

image.png

用nmap扫一下端口,看到3389端口已经打开。

image.png

开始复现,先更新msf

Curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb msfinstall && chmod 755 msfinstall && ./msfinstall

然后下载exp

wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

把文件放到对应文件夹里面

cp rdp.rb /usr/share/metasploit-framework/modules/exploit/windows/rdp/rdp.rb
cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

运行msf,重新加载

reload_all

image.png

查看一下参数

image.png

进行配置,RHOSTS是目标机的ip,RPORT是端口号,target是目标机的机器架构

image.png

查看一下配置结构

image.png

run运行,出现了蓝屏。(第一个run失败是因为目标机一开始没有打开3389端口导致连不上。)

image.png

网上找了下原因,发现很多都是蓝屏的情况,推荐的解决方法有加注册表或者尝试target选择2。先尝试了把target换成2,再运行。成功!

image.png

Dir可以看到当前文件夹所有文件

image.png

查个ip还出现了乱码,但数值是对的。

image.png

运行个calc试试,发现跳出来了这个

image.png

点查看可以看到计算器已经跳出来了。

image.png

注册表和服务也一样可以运行。

image.png

总结一下尝试用exp的时候还是出现了一些问题,exp也并不是特别稳定。

参考链接

https://paper.seebug.org/937/

https://www.cnblogs.com/feizianquan/p/11481294.html#commentform


Share Tweet +1