BlueKeep远程桌面代码执行漏洞

原创 小智 智检安全 2025-02-19 08:31

CVE-2019-0708(BlueKeep)

远程桌面代码执行漏洞与靶机复现

1.漏洞介绍

2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证，无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用，与2017年WannaCry勒索病毒的传播方式类似。

2.漏洞原理

存在漏洞的远程桌面服务器，在接收到特殊数据包时会释放一个内部信道MS_T120的控制结构体，但并未将指向该结构体的指针删除，而且在远程桌面连接结束之后还会调用 MS_T120结构体内的一个函数指针，若攻击者可通过远程发送数据重新占据被释放的MS_T120，并为结构体内的函数指针赋恰当的值，即可实现远程命令执行。

3.影响版本

目前已知受影响的 Windows 版本包括但不限于：

Windows 7

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows XP

Windows 8和windows 10以及之后的版本不受此漏洞影响

4.靶机环境搭建

本次复现的靶机环境为Windows 7 SP1的旗舰版

靶机下载链接:

https://pan.baidu.com/s/14aSIZgOebdLmeI2l9lGx_w

提取码:bw7m

5.靶机配置

导入ISO文件光盘镜像文件

升级一下系统版本

输入序列号：

6K2KY-BFH24-PJW6W-9GK29-TMPWP

开启远程桌面服务

查看靶机IP。

6.攻击机Kali漏洞利用

启动msf，使用reload_all重新加载0708的利用模块。

搜寻bluekeep利用模块

查看options

配置靶机IP：

查看target，设置target为我们的靶机所对应的版本：

开始攻击：

拿到shell：

在复现过程中可能会出现导致靶机蓝屏重启：

此时需要退出msf，重复之前的步骤即可成功复现。