BlueKeep

0x00漏洞描述 Windows 再次被曝出一个破坏力巨大的高危远程漏洞 CVE-2019-0708 。 CVE-2019-0708 是 RDP 协议的安全漏洞，具有蠕虫功能，因此 危害很大。攻击者一旦成功利用该漏洞，便可以在目标系统上执行任意代码，包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为。 0x01受影响的操作系统 · Windows 2003 · Windows XP · Windows 7 · Windows Server 2008 ·Windows Server 2008 R2 0x02复现环境 攻击机： Linux kali 2020.2 （ IP ： 192.168.61.158 ） 靶机： Windows 7 X64 （ IP ： 192.168.61.139 ） 0x03复现过程 一、进入Metasploit 框架 1、在kali终端输入msfconsole进入Metasploit，输入 search CVE- 2019 - 0708 搜索CVE-2019-0708可用模块 auxiliary/scanner/rdp/cve_2019_0708_bluekeep模块为扫描模块； exploit/windows/rdp/cve_2019_0708_bluekeep_rce模块为攻击模块； 二、扫描目标主机是否存在漏洞 1、加载扫描模块； use

windows RDP远程代码执行_CVE-2019-0708漏洞复现 一、漏洞概述 2019年5月14日微软官方发布安全补丁,修复了windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机。 二、漏洞影响版本 Windows 7 Windows server 2008 R2 Windows server 2008 Windows 2003 Windows xp 注:Windows 8和windows10以及之后的版本不受此漏洞影响 三、漏洞环境搭建 目标机:windows xp IP:192.168.45.135 攻击机:kali系统、\win7(安装python3环境,安装impacket模块) 条件:目标机开启3389端口,关闭防火墙 四、漏洞复现 1、 目标3389端口,关闭防火墙(或者在防火墙策略中放行3389端口) 2、 使用msf中相应的模块验证是否存在漏洞 2.1、升级msf版本 apt-get update apt-get install metasploit-framework 注意:不升级msf,使用msf v4版本加载第三方脚本,会报错,可能只因为cve-2019

时至7月，2020年上半年已告一段落。2020年，这个本该寄托无数憧憬的年份，却因一场席卷而来的疫情危机的到来而全球震荡。流年不利、人心惶惶，这些糟糕的词语已经无法准确描述这场疫情为全球人民生活造成的灰暗。 伴随着疫情夜幕的降临，生活在黑暗中的生物们也相继“苏醒”。勒索病毒、蠕虫木马、钓鱼邮件，横向渗透、变形虫攻击等黑客攻击如同洪流般裹挟泥沙席卷而来，各路玩家粉墨登场。在疫情的掩护下，将人们本已步履维艰的生活搅乱的更加浑浊。 360 安全大脑对上半年全球范围内针对PC端异常活跃的十大网络攻击威胁，包括疫情下流行病毒的趋势，以及伴随疫情出现的全新攻击面和攻击技术进行了梳理和总结，以此提醒广大企业和个人用户提高警惕，未雨绸缪而有备无患。 Top1 、勒索病毒独占鳌头 进入2020年，发展迅猛的勒索病毒没有丝毫放缓脚步，以更加来势汹汹的态势在全球横冲直撞“所向披靡”。在GandCrab家族一年半内赚下20亿美金的鼓舞下，上半年间，花样繁多的勒索病毒大有星火燎原之势，如同早已约定好上台表演次序一般，你方唱罢我登场，几乎每周都有勒索病毒“新起之秀”亮相，在广大用户身上刮下一层“油水”后，乘兴而来乘胜而归。 2020 上半年勒索病毒花样频出 上半年中占比最高的勒索病毒增长趋势图 2020 年上半年，勒索病毒繁多的变种更加趋于常态化，新型勒索病毒越演越烈的增长态势也愈发不可收拾。近两年来

玩了几天 刚回成都 玩电脑复现一下~ 内核漏洞原理暂时 没看懂 别问 ，问就是不懂 0x01 复现环境和Exp准备 漏洞影响范围 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows 2003 Windows XP 靶机环境准备 MSDN下载 Windows7 SP1下载链接:ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/ exp可以直接下载rdp.rb 可以直接更新msf 地址 ： https://github.com/qinggegeya/CVE-2019-0708-EXP-MSF- 攻击机环境准备 msf更新加载下脚本 如果kalimsf的版本太低 不能加载。 更新后加载 msf5 > search BlueKeep Matching Modules ================ # Name Disclosure Date Rank Check Description - ---- --------------- ---- ----- ----------- 0 exploit/windows/rdp/cve_2019_0708

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 2019年8月，微软发布了一套针对远程桌面服务的修复程序，其中包括两个关键的远程执行代码（RCE）漏洞，CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞（CVE-2019-0708）类似，也具有蠕虫特性，即利用这些漏洞的恶意软件可能会在无需用户交互的情况下在易受攻击的机器间进行传播。 本文主要通过对CVE-2019-1182漏洞进行分析，让大家对于漏洞的成因及漏洞修复有一个更加全面的认识。 系统版本: Windows 10 1903 补丁: windows10.0-kb4512508-x64_1893edc9a11d760be11e49d2500170ceee8026d7 漏洞危害 公网开放RDP服务的主机数量巨大，影响面极大。危险等级：严重，请用户尽快升级更新。 成因分析 分别提取补丁前和补丁后rds(Remote Desktop Service)进程相关bin文件及相关驱动模块，经过ida和bindiff分析后定位到rdpbase.dll。该模块改动很少(只有一处函数差异)，可以很快定位到问题函数，如下图所示。 分析差异函数DecompressUnchopper::Decompress发现存在一处整型溢出漏洞。 上图左边是patch之后的代码

简介 CVE-2019-0708 BlueKeep是一个Windows远程桌面服务的远程代码执行漏洞，其危害程度不亚于CVE-2017-0143 EternalBlue，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证，无需用户交互。当未经身份验证的攻击者使用RDP（常见端口3389）连接到目标系统并发送特制请求时，可以在目标系统上执行任意命令。甚至传播恶意蠕虫，感染内网其他机器。类似于2017年爆发的WannaCry等恶意勒索软件病毒。 漏洞影响的系统 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows 2003 Windows XP 扫描局域网中的漏洞 打开metasploit msfconsole 使用扫描模块 use auxiliary/scanner/rdp/cve_2019_0708_bluekeep 如果没有这个模块请吧metasploit升级到最新的版本 msfupdate 之后配置扫描的主机范围 set RHOSTS 192.168.18.1/24 开始扫描 exploit 如果出现 [+] 192.168.1.2:3389 - The target is vulnerable. 说明这个主机是有漏洞的 打补丁 我在局域网中发现一台windows 2003 有这个漏洞,首先下载补丁

作者：SungLin@知道创宇404实验室 时间：2019年9月18日 0x00 信道的创建、连接与释放 通道的数据包定义在MCS Connect Inittial PDU with GCC Conference Create Request中，在rdp连接过程如下图所示： 信道创建数据包格式如下： 在MCS Connect Inittial中属于Client Network Data数据段，MS_T120将会在连接一开始的时候通过函数termdd!_IcaRegisterVcBin创建一个虚拟通道id是0x1f大小为0x18的结构体，之后就调用termdd!IcaCreateChannel开始创建大小为0x8c的信道结构体之后将会与虚拟通道id是0x1f绑定，也就是这个结构体将会被我们利用 信道的定义字段主要是名字加上配置，配置主要包括了优先级等 在server对MCS Connect Inittial应答包，将会依次给出对应虚拟通道的id值： 在rdp内核中依次注册的值对应应该是0、1、2、3, MS_T120信道将会通过我们发送的用户虚拟id为3的值再一次绑定，首先通过termdd!_IcaFindVcBind找到了刚开始注册的虚拟通道id是0x1f，如下所示： 但是在termdd!_IcaBindChannel时，却将我们自定义的id值为3与信道结构体再一次绑定在一起了

概述 近日，阿里云安全团队监测到挖矿团伙利用solr dataimport RCE(CVE-2019-0193)作为新的攻击方式对云上主机进行攻击，攻击成功后下载门罗币挖矿程序进行牟利。该团伙使用的恶意脚本与之前报道的“威胁预警 | watchbog挖矿蠕虫升级，利用Bluekeep RDP等多个漏洞蓄势待发”文章所提团伙使用的基本一致，因此基本认为是同一团伙所为。 除此之外，可以合理推测，该团伙一直活跃在寻找新的攻击方式来植入其恶意程序，阿里云安全团队已在第一时间对该利用方式进行了监控，并对该团伙的行为持续关注。建议用户及时排查自身主机是否受到影响，并关注阿里云安全团队的相关文章。 漏洞详情 漏洞简介 Apache Solr是开源企业搜索平台，主要包括全文搜索、动态聚类、富文本处理等功能。Remote Code Execution via DataImportHandler(CVE-2019-0193)是apache Solr在2019.8.1日披露的漏洞预警，此漏洞发生在Solr的DataImportHandler(DIH)模块中，该模块提供从数据库或其他数据源获取数据的能力。由于Solr admin默认是不需要鉴权认证的，且DIH支持脚本操作，因此可以通过构造恶意http请求，实现远程命令执行。 如下图，在solr admin中选择dataimport选项卡