【漏洞復現】遠程桌面服務(RDP)遠程代碼執行漏洞(CVE-2019-0708)

原創 Apollooooo 2020-02-20 13:49

 

一、CVE-2019-0708

遠程桌面協議(RDP)本身不容易收到攻擊,此漏洞是預身份驗證,無需用戶交互。利用該漏洞,攻擊者可安裝程序、查看、更改或刪除數據、或者創建擁有完全用戶權限的新帳戶。

影響範圍:

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003(已停止維護)

Windows XP(已停止維護)

 

二、準備

攻擊機:kali-2019    192.168.224.130 

靶機:win7_x86(關閉防火牆)    192.168.224.128

三、復現

https://www.jb51.net/article/169612.htm

 

四、技術細節

https://paper.seebug.org/937/

https://www.cnblogs.com/Sylon/p/11747446.html

https://blog.csdn.net/Seizerz/article/details/100597273

https://www.jb51.net/article/169612.htm

https://www.cnblogs.com/xyongsec/p/11491528.html

 

 

參考:

https://www.freebuf.com/news/203584.html

Apollooooo
發佈了66 篇原創文章 · 獲贊 30 · 訪問量 2萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能裏存在數組下標越界,可以free掉第21個堆指針,而第21個位置對應name的空間 因此,我們可以在name裏僞造一個chunk,fr

haivk 2020-07-05 02:32:56

free_spirit(在棧上爆破一個可以被free的fake_chunk)

free_spirit(在棧上爆破一個可以被free的fake_chunk) 首先檢查一下程序的保護機制 然後,我們用IDA分析一下,功能3存在8字節溢出,將會把v7下面的buf指針覆蓋掉,而覆蓋了buf指針,就能實現任意地址寫。  

haivk 2020-07-05 02:32:56

pwnable_dragon(整數溢出+UAF)

pwnable_dragon(整數溢出+UAF) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,遊戲結束後釋放掉了ptr 也就是釋放掉了v5,而當我們打贏遊戲的時候,又malloc(0x10)並輸入,然後又調用了v5裏面的

haivk 2020-06-12 13:51:16

pwnable_applestore(unlink+局部變量生命週期外引用的漏洞)

pwnable_applestore(unlink+局部變量生命週期外引用的漏洞) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,在checkout函數中,如果v1=7174,則把這個函數裏的臨時節點鏈接到了鏈表當中,這就存

haivk 2020-06-12 13:51:16

de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用)

de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,存在一個非棧上的格式化字符串漏洞,但是關閉了文件描述符1,導致不能輸出,並且printf

haivk 2020-06-12 13:51:16

d3ctf_2019_ezfile(文件流fileno的巧妙利用)

d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能存在UAF 程序裏使用的是write輸出,因此劫持IO_2_1_stdout泄露不了數據。

haivk 2020-06-12 13:51:16

IEE754 shellcode

IEE754 shellcode fixedpoint_plaid_2016的一題,留着備用https://github.com/ispoleet/ctf-writeups/tree/master/plaid_ctf_2016/fixed

haivk 2020-06-12 13:51:16

whctf2017_note_sys(多線程條件競爭漏洞)

whctf2017_note_sys(多線程條件競爭漏洞) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能另啓了一個線程 函數裏休眠了2s,在休眠之前,end_ptr減去了8 在add函數裏,取end_p

haivk 2020-06-12 13:51:16

RCTF2020_nowrite(libc_start_main的妙用+盲注)

RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,檢查一下程序的保護機制 檢測一下沙箱,發現僅能進行open、read、exit操作,write操作都不行。 然後,我們用IDA分析一下,是一個及其簡

haivk 2020-06-12 13:51:16

jarvisoj_guess(下標越界導致盲注)

jarvisoj_guess(下標越界導致盲注) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,轉換的時候沒有檢查flag_hex[2*i]和flag_hex[2*i+1]的值是否向上越界,如果向上越界,我們可以令flag_

haivk 2020-06-12 13:51:16

whctf2017_stackoverflow(glibc任意地址寫一個0字節漏洞利用)

whctf2017_stackoverflow(glibc任意地址寫一個0字節漏洞利用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下 輸入name的功能可以用於地址泄露 在主功能裏,存在一個glibc任意地址寫入一個0字

haivk 2020-06-12 13:51:16

[ZJCTF 2019]Mesage(地址值強制當成指令)

[ZJCTF 2019]Mesage(地址值強制當成指令) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,在edit功能裏沒有檢查index,可以溢出,在任意地址處寫一個堆地址。 那麼,我們就可以把堆地址寫到已存在的堆裏,

haivk 2020-06-12 13:51:16

qwb2019_one(strchr的誤用)

qwb2019_one(strchr的誤用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,test功能裏abs函數存在溢出,由此可以造成下標越界,進而可以泄露程序的地址。 在edit功能裏,strchr可以返回字符串結尾

haivk 2020-06-12 13:51:16