RDP远程桌面连接服务

漏洞原理

Windows远程桌面内核驱动处理MS_T120通道时（管理数据传输时）没有对数据的数据包进行验证限制，没有将信道的指针删除（之后会回来访问恶意的数据包），攻击者无需认证即可向RDP服务（3389端口）发送恶意数据包，受害机在接收到恶意数据的时候，系统就会释放一些内存，之后还会去调用恶意的数据包。之后攻击者通过篡改调用的函数指针指向恶意的数据包，获取当前系统信息。

所在网络层：会话层

端口号：3389

影响版本

目前已知受影响的 Windows 版本包括但不限于：

Windows 7

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows XP

Windows 8 和 windows10 以及之后的版本不受此漏洞影响

流量特征

(1)RDP 协议中的特殊数据包构造

攻击者会通过 RDP 协议(默认端口 3389)发送特制数据包，触发目标系统释放内部信道MS T120 的控制结构体，并利用其未正确清除的指针实现远程代码执行数据包中可能包含异常的 MS T120 信道请求。

(2)预身份验证阶段的异常行为

由于该漏洞是预身份验证漏洞,攻击流量会在用户未登录或未完成身份验证时直接发送恶意请求，表现为 未完成完整 RDP 握手流程的异常连接尝试

(3)扫描活动的流量特征

攻击前通常会进行大规模扫描，检测开放 3389 端口的设备。例如使用 Metasploit 的auxiliary/scanner/rdp/cve 2019 0708 bluekeep 模块，生成包含特定漏洞检测标志的 RDP 流量

扫描流量可能来自 Tor 出口节点或匿名代理，以隐藏攻击者真实 IP。

防御措施：

安装补丁

要求身份验证

关闭3389端口的一些服务

写入复杂密码

更新系统

靶场复现

靶机 windows xp IP：192.168.3.125

攻击机 kali IP：192。168.3.150

1. 登录kali，用nmap探测本网段存活主机
   
   nmap 192.168.3.0/24
   
   
2. 使用kali的msf模块，启用msfconsole
   
   
3. search CVE-2019-0708 搜索CVE-2019-0708 漏洞模块
   
   
4. 这里编号0为探测模块 编号1、2、3为攻击模块
   
   我们先使用编号为0的模块探索目标主机是否有漏洞
   
   对靶机进行漏洞扫描：
   
   使用模块：
   
   use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
   
   设置目标IP或网段：
   
   set rhosts 192.168.3.164
   
   run进行执行，这里我用的是win7，但是探测没有提示有可以执行的漏洞，应该是已经打上了补丁，所以我切换xp进行复现
   
   
   
   这是切换成xp的结果，对比可以发现win7并没有探测出漏洞
   
   
   
   之后使用攻击模块，对靶机进行攻击
   
   使用攻击模块：
   
   use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
   
   设置攻击目标IP
   
   set rhosts 192.168.3.125
   
   
   
   show targets
   
   1是真实机器，这里根据真实情况，选择5
   
   当前攻击配置
   
   show options
   
   
   
   
   
   没有创建成功，可能是xp开启了防火墙

补充

在 Windows XP 中查看和配置防火墙，可以按照以下步骤操作：

打开控制面板：

点击“开始”按钮，选择“控制面板”。

进入 Windows 防火墙设置：

在控制面板中，找到并点击“Windows 防火墙”图标。

查看防火墙设置：

在“Windows 防火墙”窗口中，你可以看到防火墙的当前状态。它会显示为“启用”或“禁用”。你可以选择更改防火墙设置。

如何查看一台机子有没有开启RDP服务

services.msc查找远程桌面服务：

在服务列表中，找到“Terminal Services”（终端服务）项。查看服务状态：

如果该服务的“状态”显示为“正在运行”，则表示 RDP 已启用。

如果该服务未运行，右键点击它，选择“启动”以启用该服务。

补充知识

msfconsole 是 Metasploit Framework 的命令行界面（CLI）工具，它是一个强大的开源渗透测试框架，用于开发和执行利用代码（exploits）来测试和发现计算机系统的漏洞。Metasploit 框架广泛应用于网络安全领域，尤其是在渗透测试和漏洞利用方面。

msfconsole 的主要功能和特点：

1. 命令行界面：msfconsole 提供了一个交互式的命令行界面，用户可以通过它来使用 Metasploit 的各种功能，执行渗透测试、利用漏洞、攻击目标系统等。
2. 漏洞利用：Metasploit 包含了大量的漏洞利用模块（Exploits），这些模块可以针对已知的漏洞进行攻击，比如远程代码执行、SQL 注入、Web 应用程序漏洞等。
3. Payloads：Metasploit 提供了多种 payloads（有效载荷），这些是攻击者用于在目标系统上执行恶意代码的工具。例如，反向 shell、Meterpreter 会话等。
4. Post-exploitation：在成功利用漏洞后，Metasploit 可以用来进行后续的攻击和信息收集，包括获取目标系统的控制权限、提取密码、记录键盘输入等。
5. 模块化：Metasploit 框架采用模块化设计，用户可以加载不同类型的模块，包括：
   
   Exploits：用于利用目标系统漏洞的模块。
   
   Payloads：用于执行攻击后的任务，如获取远程控制。
   
   Auxiliary：辅助模块，如端口扫描、服务识别等。
   
   Post：用于攻击成功后进行的操作，如窃取信息等。
6. 自动化与集成：Metasploit 提供了一些脚本化功能，可以自动化攻击流程，帮助渗透测试人员快速识别和利用漏洞。

Metasploit Framework 是一个开源的渗透测试工具，主要用于发现和利用计算机系统中的安全漏洞。它提供了一套完整的工具集，帮助安全研究人员、渗透测试人员以及系统管理员进行漏洞扫描、攻击模拟和安全测试。Metasploit 能够帮助用户识别目标系统中的弱点并进行攻击模拟，检测系统的防御能力。msfconsole是它的一部分，即为用户提供了命令行界面。