风云资源站

远程桌面(RDP)3389漏洞

列举受影响的系统:

Windows Server 2003 Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Windows Server 2008(用于 32 位系统)Service Pack 2*

Windows Server 2008(用于基于 x64 的系统)Service Pack 2*

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1

Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1

Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1

Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1

Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*

Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*

Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

查看是否打了补丁:

使用cmd进入命令行(点击开始菜单,然后在搜索框里输入cmd然后回车就进入命令行了),然后输入 systeminfo|find /i “KB2621440”,如果什么都没显示,就是没打补丁

wKioL1PQg6eR42UyAAAQSvQ0h5U259.gif

以上可见系统是打了补丁了的。

然后开始还原攻击过程(前提是系统没打补丁):

1) 首先打开没打补丁的系统,2003和2008(在虚拟机里操作)

wKioL1PQgnyz2roAAAAaLTn45w0678.gif

wKiom1PQgbbAaEu5AAAKDmWaZa4106.gif

2) 使用漏洞利用程序,用2003对2008进行操作(2008ip: 192.168.200.130):

执行命令格式: nc IP 3389 <exp.dy 然后回车

wKioL1PQhX2hP0XXAAAao3I-M5o892.gif

wKiom1PQhIfwEHWFAAAjl8xMk1g249.gif

以上,如果出现了三个心,说明已经成功了,我们再来看看2008:

wKiom1PQhQDQvodFAABv1G5HxKI858.gif

已蓝屏。

蓝屏引发的危害还是很大的,比如你的服务器正在跑web服务,突然来个蓝屏就可想而知了;

对于拿到shell的人,也可能导致提权,弄个木马什么的放到启动项。。。。

所以强烈建议各位开启自动更新并设置为自动下载并安装!

 

补丁名称:KB2621440

Windows 2008 R2 补丁:https://www.microsoft.com/zh-CN/download/confirmation.aspx?id=29116

我要评论