MS12-020远程桌面协议RDP代码执行导致系统蓝屏漏洞(CVE-2012-0002)

最新推荐文章于 2024-05-09 19:54:59 发布
最新推荐文章于 2024-05-09 19:54:59 发布
阅读量1w 收藏 10
点赞数 3
分类专栏: 渗透测试 MSF KALI 文章标签: microsoft 系统安全 RDP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/121246189
版权
渗透测试 同时被 3 个专栏收录
82 篇文章 18 订阅
订阅专栏
KALI
28 篇文章 6 订阅
订阅专栏
MSF
21 篇文章 6 订阅
订阅专栏

漏洞描述

源于没有正确处理内存中的数据包导致的CVE-2012-0002漏洞,远程攻击者在未经认证的情况下往服务器发送特制的RDP报文,来访问未初始化或未删除的对象来触发漏洞,即可执行系统权限或者NET SERVICE权限任意命令,并以管理员权限查看、更改、删除数据

受影响的系统

  • Microsoft Windows XP

  • Microsoft Windows Vista

  • Microsoft Windows Server 2003

  • Microsoft Windows Server 2008

  • Microsoft Windows 7

  • ...

漏洞复现

攻击机:kali

靶机:Microsoft Windows XP或Microsoft Windows 7

确保两台虚拟机能互相ping通

nmap扫出开放的3389端口

使用metasploit框架,需要启用metasploit所依赖的postgresql数据库

在kali上启动postgresql命令【systemctl start postgresql】

如果想查看postgresql是否开启可以使用【systemctl status postgresql】,这里显示active表示已经打开

启动msfconsole

使用search命令搜索CVE-2012-0002漏洞的完整路径【Metasploit中大部分exploit模块都会给出一个Rank的值,按模块的利用成功率会由低到高[Average→Normal→Good→Great→Excellent]】,如下图

刚才search CVE-2012-0002搜索出两个模块,其中第一个模块仅用于扫描检测,第二个模块可使目标造成拒绝服务攻击,这里选择第二个模块攻击,show options查看需要设置的参数

从上图的输出信息可以看到需要我们设置两个不同的参数rhost和rport,rport已经默认设置为3389,rhost选择靶机xp或win7的ip即可,但是在此之前利用kali里面的nmap扫描靶机端口,查看是否开放3389 

命令:nmap -sS -Pn 192.168.200.139

rhost设为靶机ip

exp发起攻击,从下图的信息可以看到,已对目标主机发起攻击,如果切换回主机会出现蓝屏,并且自动重启系统

修复建议

  • 配置防火墙过滤攻击者向3389端口的请求或修改默认端口

  • 开启Network Level Authentication服务

  • 厂商发布了针对此漏洞MS12-020的公告和系统补丁,用户更新到系统最新版本 

bbb07
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞分析】CVE2012-0002漏洞分析过程详述
Walter的专栏
07-23 7917
1、漏洞触发 发送攻击脚本后机器蓝屏效果如下: 测试环境:win xp professional sp2    2、ruby脚本源码及分析 #!/usr/bin/env ruby # ms12-020 PoC # NOTE: 本测试脚本基于中国民间流传的ChineseShit而写,并且修正了数据包不符合协议的问题 # Author: Joshua J. Drake(jduck)
CVE-2012-0002
龙卷风摧毁停车场
02-22 2832
漏洞为Windows下2012年爆出高危安全漏洞,该漏洞是因为Windows系统的远程桌面协议RDP, Remote Desktop Protocol)存在缓存溢出漏洞,攻击者可通过向目标操作系统发送特定内容的RDP包造成操作系统蓝屏,利用起来操作简单,危害极大,影响范围极广。远程桌面协议访问内存中未正确初始化或已被删除的对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标系统上运行任意代码,攻击者可随后安装程序,查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
CVE2012-0002ms12-020蓝屏漏洞利用
最新发布
2302_81096429的博客
05-09 669
ms12-020漏洞全称:Microsoft Windows 远程桌面协议远程代码执行漏洞漏洞是一个远程代码执行漏洞。输入use 0使用漏洞扫描模块,进入后使用show options查看可使用选项设置rhosts为靶机ip。0 auxiliary/scanner/rdp/ms12_020_check是漏洞扫描模块。back返回用use 1使用攻击载荷模块,剩下操作与漏洞扫描模块一样,run执行。设置rhosts为靶机ip,设置完成后run执行执行后显示漏洞可利用。3.搜索ms12-020漏洞
MS12-020CVE-2012-0002) Exploit 3389远程溢出漏洞代码
03-09
MS12-020CVE-2012-0002) Exploit 3389远程溢出漏洞代码
Microsoft远程桌面协议RDP远程代码执行漏洞(CVE-2012-0002)(MS12-020)
热门推荐
Pnoker
08-31 3万+
Microsoft 安全公告 MS12-020 - 严重 远程桌面中的漏洞可能允许远程执行代码 (2671387) 更新程序包 KB2621440 解决 CVE-2012-0002,更新程序包 KB2667402 解决 CVE-2012-0152。如果在受影响的 Microsoft Windows 版本上,CVE-2012-0152 的严重等级低于 KB2621440,则根据 CVE-2012-0002,综合严重等
中职网络安全2022国赛之MS12020漏洞扫描与利用(CVE-2012-0002
Ba1_Ma0的博客
04-25 5579
简介 我做了一个简单的环境来复现这个漏洞,需要虚拟机环境的可以加我qq:3316735898,有什么不会的也可以问我 1.在MSF工具中用search命令搜索MS12020 RDP拒绝服务攻击模块,将回显结果中的漏洞披露时间作为Flag值(如:2012-10-16)提交 搜索漏洞模块: search ms12-020 时间为: 2012-03-16 2.在MSF工具中调用MS12020 RDP拒绝服务漏洞的辅助扫描模块,将调用此模块的命令作为Flag值提交 use 3.使用set命令设置目标IP,
蓝屏攻击CVE-2012-0002漏洞复现(MS12-020
2401_84140023的博客
04-09 1093
use 1 ##使用第一个模块set rhosts ##设置目标IPrun ##执行搜索漏洞编号,利用。use 0查看,设置必须参数开始使用验证模块对目标靶机进行验证,是或否存可利用该漏洞run这里提示靶机的确存在该漏洞,可以进行漏洞利用。退出当前漏洞验证模块,使用攻击载荷模块。back 1use 1还是看参数,设置参数。执行run执行成功结果:靶机桌面:漏洞复现结束。
MS12-020补丁 远程桌面中的漏洞可能允许远程执行代码漏洞补丁 KB2621440
09-02
标题“MS12-020补丁 远程桌面中的漏洞可能允许远程执行代码漏洞补丁 KB2621440”涉及到的是微软在2012年发布的一个安全更新,旨在修复Windows系统中远程桌面协议RDP)的重大安全漏洞。这个补丁的编号是KB2621440,...
windows 漏洞补丁MS12-020.msu
05-10
ms12-020漏洞的定义是指操作系统的远程桌面协议存在重大漏洞,入侵者(黑客)可以通过向远程桌面默认端口(3389)发一系列特定RDP包,从而获取超级管理员权限,进而入侵系统。   根据实际被入侵终端进行分析,开放...
MS12-020漏洞利用(蓝屏攻击).docx
05-06
当系统处理某些特制的媒体文件时,可能会导致远程代码执行,攻击者可以利用这个漏洞向受影响的系统发送恶意媒体文件,从而控制或破坏目标计算机。 在上述描述中,攻击者使用了一台装有Linux Kali系统的计算机作为...
NET编程中的安全漏洞分析
11-19
NET编程中的安全漏洞分析 黄烟波 钟锋华
ms12-020漏洞winxp复现(CVE-2012-0002
A1111143567的博客
12-26 4205
首先声明实验所用环境 VM12虚拟机windows xp professional镜像(提醒一句处理器和内存不要分配过多,否则会出现爆破不成功的情况) VM12虚拟机Linux kali 我的笔记本连接的是我的手机热点 两个虚拟机均使用桥接模式并复制物理地址 xp的ip为192.168.43.94 kali的ip为192.168.43.181 xp的ip地址可以使用cmd命令ipconfig查看 ...
远程控制——ms12-020漏洞利用(蓝屏攻击)
wwwwyyyrre的博客
04-22 1138
(全称:Microsoft windows远程桌面协议RDP远程代码执行漏洞),远程桌面协议RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。官方补丁地址:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-020
kali-蓝屏攻击(ms12-020
臭nana的博客
03-02 1万+
打开kali终端,输入msfconsole,等待一段时间后,进入msf控制端 输入search ms12-020,这条指令是搜索ms12-020模块 上面那个auxiliary/dos/windows/rdp/ms12_020_maxchannelids是攻击模块,我们先不看,先看下面的搜索模块 输入useauxiliary/scanner/rdp/ms12_020_check 然...
MS12-020 远程桌面协议RDP远程代码执行漏洞
0leg的博客
12-21 5005
在Windows XP 、Windows Server 2003 以及未开启网络层认证(Network Level Authentication)的Windows Server 2008 和Windows 7 中,只要操作系统开启Remote Desktop Protocol (RDP)服务,远程攻击者在未经认证的情况下往服务器发送畸形恶意的数据包,便可以以系统权限或者NET SERVICE权限执行任意命令。
MS12-020(CVE-2012-0002) exp/poc(已测试成功)
weixin_30568591的博客
03-16 564
经过验证,成功造成windows2003 sp2蓝屏 蓝屏代码为: 0x0000008e (0xc0000005, 0xf753888c, 0xbafcf964, 0x00000000) 截图为: 最后是最重要的的POC代码了: 转自(http://bbs.blackbap.org/thread-2419-1-1.html) 注:运行环境为BT5-R1 #!/u...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值