winSer 2008 R2 cve2019-0708远程桌面服务漏洞

实验环境 #

攻击机:Kali 2020

攻击机IP:192.168.250.174

靶机:Win Server2008 R2

靶机IP:192.168.250.149

实验工具 #

GOBY:一款新的网络安全测试工具,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。

mestasploit: 开源的渗透测试框架软件、综合型漏洞利用工具,本次实验使用其漏洞利用模块、meterpreter组件。

实验步骤 #

漏洞扫描 #

利用GOBY对目标IP进行扫描,发现该目标存在Windows远程桌面服务漏洞(CVE-2019-0708)。

漏洞验证 #

使用MSF辅助模块,判断该漏洞是否存在且可利用。

在kali终端内输入 msfconsole

使用search命令查找cve-2019-0708漏洞相关模块。

使用use命令选择要使用的模块,并设置参数

执行run或exploit命令

漏洞利用 #

确定该漏洞可以被利用之后,使用漏洞利用模块,查看配置信息,填写标记为yes的参数。

配置反弹控制端shell的payload

执行run或exploit命令,成功获取目标主机的session会话

远程登录 #

执行help命令可以了解meterpreter有哪些功能

获取目标主机hash值,执行hashdump命令

meterpreter中集成了mimikata工具,其是一个密码提取神奇,支持冲windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证等。

执行load mimikata命令运行该工具,其命令与mimikatz一样

执行msv,导出hash

然后执行kerberos即可获得目标主机的账号密码

远程登录目标主机

修复方案 #

修复漏洞更新补丁

安装微软的安全更新来给系统打上安全补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

同时针对已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新,下载地址:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

临时方案

1.若用户不需要用到远程桌面服务,建议禁用该服务。

2.开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。

以上措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新。