win7 sp1漏洞

0x00漏洞描述

系列服务器于2019年5月15号，被爆出高危漏洞，该漏洞影响范围较广如：、、、系统都会遭到攻击，该服务器漏洞利用方式是通过远程桌面端口3389，RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞，跟之前的勒索，永恒之蓝病毒差不多。

CVE-2019-0708漏洞是通过检查用户的身份认证，导致可以绕过认证，不用任何的交互，直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用，会导致服务器入侵，中病毒，像永恒之蓝漏洞一样大规模的感染。2019年9月7日晚上凌晨1点左右，更新了漏洞利用程序

在2019年5月，微软发布了针对远程代码执行漏洞CVE-2019-0708的补丁更新，该漏洞也称为“”，漏洞存在于远程桌面服务（RDS）的代码中。此漏洞是预身份验证，无需用户交互，因此具有潜在武器化蠕虫性性漏洞利用的危险。如果成功利用此漏洞，则可以使用“系统”权限执行任意代码。安全响应中心的建议表明这个漏洞也可能会成为一种蠕虫攻击行为，类似于Wannacry和EsteemAudit等攻击行为。由于此漏洞的严重性及其对用户的潜在影响，微软采取了罕见的预警步骤，为不再受支持的WindowsXP操作系统发布补丁，以保护Windows用户。

0x01漏洞影响

该漏洞影响旧版本的Windows系统，包括：

Windows7、WindowsServer2008R2、WindowsServer2008、Windows2003、WindowsXP。

Windows8和Windows10及之后版本不受此漏洞影响。

0x02cve_2019_0708_bluekeep_rce.rb介绍

此PR为CVE-2019-0708（又名BlueKeep）添加了一个漏洞利用模块，该模块通过RDP利用远程Windows内核释放后使用漏洞。rdptermdd.sys驱动程序未正确处理绑定到仅限内部的通道ms_t120，从而允许格式错误的断开连接提供程序指示消息导致释放后被使用。利用可控制的数据和远程非分页面池堆喷射，使用空闲信道的间接调用小工具来实现任意代码执行。

这个模块最初由@zerosum0x0和@ryhanson开发，然后由@oj、@zerosteiner、@rickoates、@wvu-r7、@bwatters-r7、@wchen-r7、@tsellers-r7、@todb-r7和其他人进一步开发。为了利用metasploit中的rdp和其他库增强功能，该模块从python外部模块移植到本机ruby模块。果您希望检查并将其与当前实现进行比较，则原始Python模块位于提交历史记录中。

该模块当前以64位版本的Windows7和WindowsServer2008R2为目标。对于WindowsServer2008R2，需要修改注册表项以启用通过rdpsnd通道进行堆喷射，但仍有其他可能使用在所有Wwin7 sp1漏洞indows操作系统上默认启用的备用通道。

由于用户需要提供额外的目标信息或有使目标主机崩溃的风险，该模块目前被列为手动模块。该模块实现了一个默认的仅指向的目标选项，该选项只检查易受攻击的主机，并显示有关特定目标操作系统的一些初始信息，但用户需要根据辅助侦察指定更精确的目标或直到进一步改进模块可以在运行时更准确地确定目标内核内存布局。

有针对没有打补丁的，裸机、VirtualBox、VMWare和Hyper-V的特定目标，尽管目标环境中可能还有其他变量，这些变量会额外转移基础地址以进行修饰。

0x03漏洞分析

1.PDU

根据MS-RDPBCGR（远程桌面协议：连接和远程处理）文档，位图缓存PDU的全名是TS_BITMAPCACHE_PERSISTENT_LIST_PDU，密钥列表PDU数据被嵌入在永久密钥列表PDU中。永久密钥列表PDU是在客户端从客户端发送到服务器的RDP连接序列PDU

RDP连接序列的连接完成阶段，如图1所示。