Windows漏洞CVE-2019-0708

标签（空格分隔）：网络攻防技术

步骤: (1)开启Windows7的远程桌面服务：在windows7系统中依次选择【控制面板】→【系统和安全】→【允许远程访问】打开远程访问服务。
(2)下载漏洞利用脚本：在互联网上搜索CVE-2019-0708相关的漏洞利用脚本，可以在github上面下载到正确的脚本
这里已经放置到了Kali系统的/root/0708目录中，一共两个python脚本文件。poc.py文件 crashpoc.py文件
查看crashpoc.py文件，其中用到了几个不常用的第三方库。如果在其他系统中使用的话需要首先安装这几个第三方库，但是在Kali2020中，这些库都已经安装完成可以直接使用
（3）使用脚本在/root/0708这个目录的空白处点击鼠标右键，选择【OpenTerminalHere】选项在当前目录中打开一个终端。
然后输入命令python3 crashpoc.py查看程序的使用帮助。
从帮助信息中可知，需要在脚本后面加上目标机器的IP地址和系统位数，本实验的目标机器的IP地址为192.168.12.144，操作系统位数为64，所以拼凑后的命令为python3 crashpoc.py 192.168.12.144 64，回车后代码正确执行。
切换到windows7的机器查看效果，可以看到目标机器蓝屏。

步骤: (1)在Kali系统终端中输入命令msfconsole打开metasploit。
输入命令search cve_2019_0708搜索远程桌面漏洞利用模块。
(2)输入命令use exploit/windows/rdp/cve_2019_0708_bluekeep_rce。
设置完成后输入info查看此模块的一些介绍信息。
(3)除了设置攻击目标的IP外，此模块还需要设置一下target,因为当前使用虚拟环境，所以根据实际情况进行设置。
设置受害者相关的配置信息（Windows7系统）并开始攻击。set rhost 192.168.12.144 set target 3 exploit
返回受害者Windows7主机查看，发现Windows7主机已蓝屏。
防御方法: 微软官方已经发布更新补丁（包括WindowsXP等停止维护的版本），请用户及时进行补丁更新。
若用户不需要用到远程桌面服务，建议禁用该服务。
在防火墙中对TCP3389端口进行阻断。
开启系统防火墙或IP安全策略限制来源IP，即只允许指定IP访问。
启用网络级认证（NLA），此方案适用于Windows7、WindowsServer2008、WindowsServer2008R2
安装必要的防火墙或杀毒软件，关注安全公司的漏洞报告或防御文章。