1.1. 漏洞信息介绍
Microsoft 安全公告 MS12-020
远程桌面中的漏洞可能允许远程执行代码
微软官方发布时间:2012 年 3 月 13 日
攻击者利用 MS12-020 漏洞向
受影响的系统发送一系列特制 RDP 数据包,则有可能造成被攻击系统蓝屏、重启或任意代
码执行。具体漏洞信息参考以下链接:
1.测试攻击需要用到的工具及脚本:
ruby186-26.exe
注:若需要使用 linux 或其他系统演示,请在 ruby 官方网页下载合适的安装包:
http://www.ruby-lang.org/zh_cn/downloads/
http://www.ruby-lang.org/zh_cn/downloads/
52353.rb 脚本
注:下载后重命名不影响使用
1.在未安装 KB2621440 的 windows 2003 漏洞网站服务器系统上开启远程桌面接入功
能(使用默认端口 3389)。
2.在测试主机上安装 ruby 运行环境,下载 ruby186-26.exe 直接安装即可
3.将 ruby 脚本 52363.rb 下载至测试主机,例如放在:e:\yangtao\SeTool\52363.rb
4.在测试主机开启一个 CMD 窗口,并将目录更改到 ruby.exe 所在目录,并运行如下
命令:
ruby.exe X:\XXX\52353.rb A.B.C.D
命令说明:
ruby.exe 为脚本运行程序
X:\XXX\52353.rb 为攻击脚本完整路径
A.B.C.D 为被攻击服务器 IP
脚本运行后即可看到 RDPWD.SYS 引起的服务器蓝屏.
 |
注:脚本可能一次执行不成功,服务器无反应,多次执行即可;服务器表现一般为蓝屏,也有可能为服务器直接重启。
