首页 > 代码库 > ms12-20 远程桌面(RDP)3389漏洞
ms12-20 远程桌面(RDP)3389漏洞
这是12年的漏洞了,但是还有很多系统都没打补丁,在此记录下,便于以后总结。
首先列举下受影响的系统(看看你们的系统是否在里面):
Windows Server 2003 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Server 2008(用于 32 位系统)Service Pack 2*
Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1
Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1
Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1
Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1
Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*
Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*
Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
查看是否打了补丁:
使用cmd进入命令行(点击开始菜单,然后在搜索框里输入cmd然后回车就进入命令行了),然后输入 systeminfo|find /i "KB2621440",如果什么都没显示,就是没打补丁
以上可见系统是打了补丁了的。
然后开始还原攻击过程(前提是系统没打补丁):
1) 首先打开没打补丁的系统,2003和2008(在虚拟机里操作)
2) 使用漏洞利用程序,用2003对2008进行操作(2008ip: 192.168.200.130):
执行命令格式: nc IP 3389 <exp.dy 然后回车
以上,如果出现了三个心,说明已经成功了,我们再来看看2008:
已蓝屏。
蓝屏引发的危害还是很大的,比如你的服务器正在跑web服务,突然来个蓝屏就可想而知了;
对于拿到shell的人,也可能导致提权,弄个木马什么的放到启动项。。。。
所以强烈建议各位开启自动更新并设置为自动下载并安装。
本文只为研究攻击和防范,请勿做非法用途!
本文出自 “冷雨” 博客,请务必保留此出处http://z190100425.blog.51cto.com/3622029/1529637