背景:
在某次应急过程中,发现攻击者来利用CVE-2019-0708进行攻击。该漏洞之前只有打蓝屏的poc,此次发现攻击者成功拿下权限。故进行本地复现,尝试能否成功。
CVE-2019-0708(BlueKeep):
该漏洞通过RDP利用远程Windows内核释放后使用漏洞。rdp termdd.sys驱动程序未正确处理绑定到仅限内部的通道ms_t120,从而允许格式错误的断开连接提供程序指示消息导致释放后被使用。利用可控制的数据和远程非分页面池堆喷射,使用空闲信道的间接调用shellcode来实现任意代码执行。
受影响版本:
Windows Server 2008R2 sp1
Windows Server 2008
Windows 7 sp1
复现环境:
Win7 x64 sp1 192.168.233.211
Kali 192.168.233.153
Win7开启RDP
Kali:
msf6 > use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
蓝屏:
Shell:
