Windows系统SMB/RDP远程命令执行漏洞

最新推荐文章于 2024-06-02 16:50:45 发布
最新推荐文章于 2024-06-02 16:50:45 发布
阅读量1.2w 收藏 2
点赞数 2
分类专栏: 漏洞收集

 介于此次爆发的漏洞事件危害太过严重,本文当回搬运工,分享此次NSA方程式组织泄露的0day事件。由于信息量太过庞大,没有对其中的技术细节进行研究,不过请相信我,赶紧拔电源吧。

事件具体细节请参考:长亭科技专栏
exploit地址:https://github.com/x0rz/EQGRP_Lost_in_Translation

事件起因

  2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。
  北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。
  这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):

  • EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具
  • ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
  • 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
  • ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
  • FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
  • ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
  • ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。
  • ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

漏洞影响

据说影响全球70%的windows服务器,想想都恐怖,不说了,我拔电源了。

临时修复方案

  • 关闭445,137,139,3389端口,或者上防护设备限制特定ip访问。
  • 坐等微软补丁
7禧
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
D模块模拟Windows2008系统渗透所使用的的漏洞解析
04-04
5. **MS17-010**:“EternalBlue”漏洞,这是Windows SMB(Server Message Block)协议中的一个重大漏洞,允许远程代码执行。这个漏洞被广泛利用,例如在WannaCry和NotPetya勒索软件攻击中。确保安装相关的安全更新...
漏洞公告】高危:Windows系统 SMB/RDP远程命令执行漏洞
weixin_34210740的博客
04-16 717
2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注,具体漏洞详情如下: 漏洞编号: 暂无 漏洞名称: Windows系统多个SMB\RDP远程命令执行漏洞官方评级: 高危 漏洞描述: 国外黑客组织Shadow Br...
Windows SMB/RDP日志溯源总结
travelnight的博客
02-10 1万+
Windows SMB/RDP日志溯源总结 在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。 注:本文举例均为win7系统。 日志提取 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。 直接访问日志文件路径也可提取 C:\Windows\System32\winevt\Logs 一般重点关注securi
永恒之蓝 (EternalBlue) 漏洞利用原理详解
最新发布
volta_xu的博客
06-02 879
SMB(Server Message Block)协议是一种网络文件共享协议,主要用于文件和打印机共享。SMB协议允许客户端通过网络访问服务器上的文件、目录和其他资源。在Windows中,SMB协议是默认启用的,用于提供文件共享服务。
3 rdp连接_【漏洞预警】RDP中断会话连接导致锁屏绕过漏洞(CVE20199510)
weixin_39619451的博客
01-15 396
1.漏洞标题RDP中断会话连接导致锁屏绕过漏洞(CVE-2019-9510)漏洞描述北京时间6月5日,一项新的0day漏洞已被披露,可能允许攻击者劫持现有的远程桌面服务会话以获得对计算机的访问权限。即使使用双因素身份验证(2FA)机制(如Duo Security MFA),也可以利用该漏洞绕过Windows机器的锁定屏幕。该漏洞由卡耐基梅隆大学SEI的Joe Tammariello发现。...
windows下ssh、telnet、rdpsmb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3691
windows暴破事件日志
MS12_020 3389远程溢出漏洞
自强不息
10-21 162
道虽远,行则易至;儒虽难,坚为易成
MS12-020 远程桌面协议RDP远程代码执行漏洞
0leg的博客
12-21 5010
Windows XP 、Windows Server 2003 以及未开启网络层认证(Network Level Authentication)的Windows Server 2008 和Windows 7 中,只要操作系统开启Remote Desktop Protocol (RDP)服务,远程攻击者在未经认证的情况下往服务器发送畸形恶意的数据包,便可以以系统权限或者NET SERVICE权限执行任意命令
ms漏洞溢出dos命令
06-15
漏洞主要存在于Windows的Server服务中,攻击者可以通过发送特制的SMB(Server Message Block)请求来利用这个漏洞执行任意代码,甚至完全控制受影响的系统。 2. **MS05-039**:这个安全公告涉及到Windows操作...
漏洞端口关闭135,137,139,445,3389.rar
08-13
4. **端口3389**:这是Remote Desktop Protocol (RDP)的默认端口,允许用户通过网络远程访问操作系统桌面。如果未正确配置或密码强度不足,RDP可以成为黑客入侵的通道。 为了防范勒索病毒和蠕虫,以下是一些安全...
God.org单域环境攻略(三)1
08-08
7. Windows 2003:这是一个较为古老的操作系统,存在多个漏洞,包括 IIS 6.0 远程代码执行漏洞、永恒之蓝漏洞、MSSQL 弱口令、CVE-2019-0708 远程桌面代码执行漏洞和 MS08-067 漏洞。 8. Metasploit 框架:这是一个...
3389溢出工具一个图形界面的工具
05-15
软件属性: 免费软件 文件大小: 4K 软件语言: 简体中文 软件编辑: 孤剑飘摇 3389溢出工具,一个图形界面的工具
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
03-09
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
溢出端口说明
05-29
溢出端口说明
doublepulsar-detection-script脚本:用于扫描网络以查找受DOUBLEPULSAR植入物危害的Windows系统的python2脚本
02-20
它重新实现植入物的ping命令,可以在不进行身份验证的情况下远程使用该命令,以确定系统是否被感染。 支持植入物的SMBRDP版本。 并非所有操作系统版本都经过测试,并且某些当前无法通过。 例如,2012将拒绝带有...
ms12-20 远程桌面(RDP)3389漏洞
weixin_40191861的博客
04-11 502
Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1。
漏洞利用四:3389端口漏洞利用
ZY95001的博客
09-04 1万+
一、MS12-020 二、CVE-2019-0708
CVE-2019-0708 补丁下载地址与漏洞修复办法
热门推荐
网站安全专家
05-17 4万+
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。 目前国内使用windows服务器的公司,以及网站...
Windows远程命令执行0day漏洞安全预警
月梦工作室
04-27 369
一、概要 Shadow Brokers泄露多个Windows 远程漏洞利用工具,可以利用SMBRDP服务成功入侵服务器,可以覆盖全球 70% 的 Windows 服务器,且POC已公开,任何人都可以直接下载并远程攻击利用。 二、漏洞级别 漏洞级别:紧急。(说明:漏洞级别共四级:一般、重要、严重、紧急。) 三、影响范围 目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Wi
3389/rdp常用的漏洞利用方法
05-27
RDP(远程桌面协议)是一种用于Windows系统的远程管理工具,常用于远程控制服务器。以下是一些常用的RDP漏洞利用方法: 1. RDP弱口令攻击:黑客可以使用常见的用户名和密码组合来尝试登录RDP服务,例如administrator/admin、guest/guest等。如果目标服务器使用弱密码,则黑客可以轻松地登录并获取管理员权限。 2. RDP信息泄露:黑客可以通过RDP协议获取目标服务器的敏感信息,例如系统版本、用户信息等。这些信息可以帮助黑客更好地了解目标服务器的安全状况,从而进行更有效的攻击。 3. RDP缓冲区溢出攻击:黑客可以向目标服务器发送特制的RDP数据包,使其缓冲区溢出,从而执行恶意代码。 4. RDP DOS攻击:黑客可以向目标服务器发送大量的RDP请求,从而使其无法正常工作。 5. RDP中间人攻击:黑客可以通过欺骗用户或路由器来拦截和篡改RDP连接,从而获取用户的敏感信息。 请注意,这些漏洞利用方法都是非法的,不应该用于攻击他人的RDP服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值