ms12-20 远程桌面(RDP)3389漏洞
2014-07-24 13:42
597 查看
这是12年的漏洞了,但是还有很多系统都没打补丁,在此记录下,便于以后总结。
首先列举下受影响的系统(看看你们的系统是否在里面):
Windows Server 2003 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Server 2008(用于 32 位系统)Service Pack 2*
Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1 Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1 Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
查看是否打了补丁:
使用cmd进入命令行(点击开始菜单,然后在搜索框里输入cmd然后回车就进入命令行了),然后输入 systeminfo|find /i "KB2621440",如果什么都没显示,就是没打补丁
以上可见系统是打了补丁了的。
然后开始还原攻击过程(前提是系统没打补丁):
1) 首先打开没打补丁的系统,2003和2008(在虚拟机里操作)
2) 使用漏洞利用程序,用2003对2008进行操作(2008ip: 192.168.200.130):
执行命令格式: nc IP 3389 <exp.dy 然后回车
以上,如果出现了三个心,说明已经成功了,我们再来看看2008:
已蓝屏。
蓝屏引发的危害还是很大的,比如你的服务器正在跑web服务,突然来个蓝屏就可想而知了;
对于拿到shell的人,也可能导致提权,弄个木马什么的放到启动项。。。。
所以强烈建议各位开启自动更新并设置为自动下载并安装!
本文只为研究攻击和防范,请勿做非法用途!
本文出自 “冷雨” 博客,请务必保留此出处http://z190100425.blog.51cto.com/3622029/1529637
首先列举下受影响的系统(看看你们的系统是否在里面):
Windows Server 2003 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Server 2008(用于 32 位系统)Service Pack 2*
Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1 Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1 Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
查看是否打了补丁:
使用cmd进入命令行(点击开始菜单,然后在搜索框里输入cmd然后回车就进入命令行了),然后输入 systeminfo|find /i "KB2621440",如果什么都没显示,就是没打补丁
以上可见系统是打了补丁了的。
然后开始还原攻击过程(前提是系统没打补丁):
1) 首先打开没打补丁的系统,2003和2008(在虚拟机里操作)
2) 使用漏洞利用程序,用2003对2008进行操作(2008ip: 192.168.200.130):
执行命令格式: nc IP 3389 <exp.dy 然后回车
以上,如果出现了三个心,说明已经成功了,我们再来看看2008:
已蓝屏。
蓝屏引发的危害还是很大的,比如你的服务器正在跑web服务,突然来个蓝屏就可想而知了;
对于拿到shell的人,也可能导致提权,弄个木马什么的放到启动项。。。。
所以强烈建议各位开启自动更新并设置为自动下载并安装!
本文只为研究攻击和防范,请勿做非法用途!
本文出自 “冷雨” 博客,请务必保留此出处http://z190100425.blog.51cto.com/3622029/1529637
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 关于MS12-020 3389 0day exp 远程桌面执行代码漏洞的文章
- Windows2012R2 远程桌面服务(RDP)3389存在SSL漏洞的解决办法
- MS12-020 远程桌面漏洞
- 嗅探、劫持 3389 端口、远程桌面、rdp 协议的一些经验技巧总结
- 嗅探、劫持 3389 端口、远程桌面、rdp 协议的一些经验技巧总结
- Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)
- 修改远程桌面连接端口3389,RDP-Tcp的portnumber要用十六进制修改
- 5.漏洞验证系列--MS12-020远程桌面中的漏洞可能允许远程执行代码
- Windows 2003如何打开RDP远程桌面(3389)
- MS12-020:远程桌面中的漏洞可能允许远程代码执行:2012 年 3 月 13 日
- 微软3389远程桌面工具报高危安全漏洞请大家及时更新补丁KB2621440
- 国外3389远程桌面弱口令检测工具 xTSCrack – RDP AuditTool
- CVE-2012-0002(MS12-020)3389远程溢出漏洞
- MS12-020 远程桌面漏洞
- C#调用RDP,实现远程桌面共享及控制
- 远程桌面端口3389修改
- 利用Windows2003 IP安全策略实现服务器远程桌面端口(3389)访问控制
- WIN8系统的远程桌面漏洞 利用QQ拼音纯净版实现提权
- (转)远程桌面3389多用户登陆补丁及端口修改(XP+WIN7)
- winxp远程桌面建立与rdp权限的更改