这是12年的漏洞了,但是还有很多系统都没打补丁,在此记录下,便于以后总结。

首先列举下受影响的系统(看看你们的系统是否在里面):

Windows Server 2003 Service Pack 2 

Windows Vista x64 Edition Service Pack 2 

Windows Server 2003 x64 Edition Service Pack 2 

Windows XP Professional x64 Edition Service Pack 2 

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Windows Server 2008(用于 32 位系统)Service Pack 2*

Windows Server 2008(用于基于 x64 的系统)Service Pack 2*

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 

Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1 

Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1

Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1 

Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1

Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*

Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*

Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 

Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1


查看是否打了补丁:

使用cmd进入命令行(点击开始菜单,然后在搜索框里输入cmd然后回车就进入命令行了),然后输入 systeminfo|find /i "KB2621440"如果什么都没显示,就是没打补丁

ms12-20 远程桌面(RDP)3389漏洞_第1张图片

以上可见系统是打了补丁了的。


然后开始还原***过程(前提是系统没打补丁):

    1) 首先打开没打补丁的系统,2003和2008(在虚拟机里操作)

           ms12-20 远程桌面(RDP)3389漏洞_第2张图片

            ms12-20 远程桌面(RDP)3389漏洞_第3张图片

    2) 使用漏洞利用程序,用2003对2008进行操作(2008ip: 192.168.200.130):

                执行命令格式: nc IP 3389

          ms12-20 远程桌面(RDP)3389漏洞_第4张图片

           ms12-20 远程桌面(RDP)3389漏洞_第5张图片

            以上,如果出现了三个心,说明已经成功了,我们再来看看2008:

            ms12-20 远程桌面(RDP)3389漏洞_第6张图片

             已蓝屏。


             蓝屏引发的危害还是很大的,比如你的服务器正在跑web服务,突然来个蓝屏就可想而知了;

             对于拿到shell的人,也可能导致提权,弄个***什么的放到启动项。。。。

             所以强烈建议各位开启自动更新并设置为自动下载并安装!


                                                        本文只为研究***和防范,请勿做非法用途!