MS12-020远程桌面协议RDP代码执行导致系统蓝屏漏洞(CVE-2012-0002)

最新推荐文章于 2025-02-27 01:57:01 发布
最新推荐文章于 2025-02-27 01:57:01 发布
阅读量1w 收藏 11
点赞数 3
分类专栏: 渗透测试 MSF KALI 文章标签: microsoft 系统安全 RDP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_58784379/article/details/121246189
版权
本文详细介绍了CVE-2012-0002漏洞,该漏洞源于内存数据包处理错误,允许未经认证的攻击者通过发送特制RDP报文对受影响的Windows系统执行任意命令。受影响的系统包括Windows XP、Vista、Server 2003、Server 2008和7等。攻击者可利用Metasploit框架中的模块发起攻击,导致系统蓝屏重启。防范措施包括配置防火墙、启用NetworkLevelAuthentication服务以及安装官方补丁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述

源于没有正确处理内存中的数据包导致的CVE-2012-0002漏洞,远程攻击者在未经认证的情况下往服务器发送特制的RDP报文,来访问未初始化或未删除的对象来触发漏洞,即可执行系统权限或者NET SERVICE权限任意命令,并以管理员权限查看、更改、删除数据

受影响的系统

  • Microsoft Windows XP

  • Microsoft Windows Vista

  • Microsoft Windows Server 2003

  • Microsoft Windows Server 2008

  • Microsoft Windows 7

  • ...

漏洞复现

攻击机:kali

靶机:Microsoft Windows XP或Microsoft Windows 7

确保两台虚拟机能互相ping通

nmap扫出开放的3389端口

使用metasploit框架,需要启用metasploit所依赖的postgresql数据库

在kali上启动postgresql命令【systemctl start postgresql】

如果想查看postgresql是否开启可以使用【systemctl status postgresql】,这里显示active表示已经打开

启动msfconsole

使用search命令搜索CVE-2012-0002漏洞的完整路径【Metasploit中大部分exploit模块都会给出一个Rank的值,按模块的利用成功率会由低到高[Average→Normal→Good→Great→Excellent]】,如下图

刚才search CVE-2012-0002搜索出两个模块,其中第一个模块仅用于扫描检测,第二个模块可使目标造成拒绝服务攻击,这里选择第二个模块攻击,show options查看需要设置的参数

从上图的输出信息可以看到需要我们设置两个不同的参数rhost和rport,rport已经默认设置为3389,rhost选择靶机xp或win7的ip即可,但是在此之前利用kali里面的nmap扫描靶机端口,查看是否开放3389 

命令:nmap -sS -Pn 192.168.200.139

rhost设为靶机ip

exp发起攻击,从下图的信息可以看到,已对目标主机发起攻击,如果切换回主机会出现蓝屏,并且自动重启系统

修复建议

  • 配置防火墙过滤攻击者向3389端口的请求或修改默认端口

  • 开启Network Level Authentication服务

  • 厂商发布了针对此漏洞MS12-020的公告和系统补丁,用户更新到系统最新版本 

MS12-020远程桌面漏洞复现
afei001
03-24 786
MS12-020漏洞简介     MS12-020全称Microsoft Windows远程桌面协议RDP远程代码执行漏洞RDP远程桌面协议简介     远程桌面协议RDP,Remote Desktop Protocol)是一个多通道(multi-channel)的协议,用户可以通过客户端远程连接服务端。占用端口:3389 标题漏洞影响范围     Microsoft Windows...
[系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
杨秀璋的专栏
12-28 9867
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了Windows远程桌面服务漏洞CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文章将详细讲解MS08-067远程代码执行漏洞CVE-2008-4250),它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。
MS12-020CVE-2012-0002) Exploit 3389远程溢出漏洞代码
03-09
MS12-020CVE-2012-0002) Exploit 3389远程溢出漏洞代码
CVE-2012-0002
龙卷风摧毁停车场
02-22 4038
漏洞为Windows下2012年爆出高危安全漏洞,该漏洞是因为Windows系统的远程桌面协议RDP, Remote Desktop Protocol)存在缓存溢出漏洞,攻击者可通过向目标操作系统发送特定内容的RDP包造成操作系统蓝屏,利用起来操作简单,危害极大,影响范围极广。远程桌面协议访问内存中未正确初始化或已被删除的对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标系统上运行任意代码,攻击者可随后安装程序,查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。
保护嵌入式代码安全:STM32实践
最新发布
世事洞明皆学问
02-27 637
在工业控制、医疗设备和消费电子领域,嵌入式代码是产品的核心价值载体。2019年某知名无人机企业因代码泄露导致飞行控制算法被破解,直接经济损失超2.3亿美元。通过STM32的**读保护(RDP)**机制,可有效阻止通过调试接口(JTAG/SWD)或RAM启动程序等方式读取Flash内容,这种硬件级防护已成为嵌入式开发的必备技能。
CVE2012-0002ms12-020蓝屏漏洞利用
2302_81096429的博客
05-09 1522
ms12-020漏洞全称:Microsoft Windows 远程桌面协议远程代码执行漏洞漏洞是一个远程代码执行漏洞。输入use 0使用漏洞扫描模块,进入后使用show options查看可使用选项设置rhosts为靶机ip。0 auxiliary/scanner/rdp/ms12_020_check是漏洞扫描模块。back返回用use 1使用攻击载荷模块,剩下操作与漏洞扫描模块一样,run执行。设置rhosts为靶机ip,设置完成后run执行,执行后显示漏洞可利用。3.搜索ms12-020漏洞
Microsoft远程桌面协议RDP远程代码执行导致系统蓝屏漏洞编号CVE-2012-0002(MS12-020)
ranuy阮的博客
02-28 1万+
1、漏洞描述 在Windows XP 、Windows Server 2003 以及未开启网络层认证(Network Level Authentication)的Windows Server 2008 和Windows 7 中,只要操作系统开启Remote Desktop Protocol (RDP)服务,远程攻击者在未经认证的情况下往服务器发送畸形恶意的数据包,便可以以系统权限或者NET SER...
Windows Server 2008 R2 Microsoft Windows RDP 远程代码执行漏洞(CVE-2012-0002)(MS12-020)
友人A的博客
06-17 2980
一、漏洞情况 二、整改记录 1、 2、 3、 4、 5、 6、 7、
ms12-020漏洞winxp复现(CVE-2012-0002
A1111143567的博客
12-26 4530
首先声明实验所用环境 VM12虚拟机windows xp professional镜像(提醒一句处理器和内存不要分配过多,否则会出现爆破不成功的情况) VM12虚拟机Linux kali 我的笔记本连接的是我的手机热点 两个虚拟机均使用桥接模式并复制物理地址 xp的ip为192.168.43.94 kali的ip为192.168.43.181 xp的ip地址可以使用cmd命令ipconfig查看 ...
使用metasploit(MSF)对windows的ms12-020漏洞进行利用的过程
D-river博客
11-10 1万+
前言攻击者向受影响的系统发送一系列特制 RDP 数据包,则这个漏洞可能造成拒绝服务攻击或允许远程执行代码。默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP,默认端口3389)。没有启用 RDP 的系统不受威胁。此实验对目标系统造成了DOS攻击。 0x01 实验环境攻击机:kali linux ip:192.168.8.130 目标机:windows server 200
蓝屏攻击CVE-2012-0002漏洞复现(MS12-020
轻舟已过万重山
09-22 4448
ms12-020漏洞是指操作系统的远程桌面协议存在重大漏洞,入侵者可以通过向远程桌面默认端口(3389)发一系列特定RDP包,从而获取超级管理员权限,进而入侵系统,因此3389成为突破口。
RDP协议开源代码
06-03
RDP开源项目FreeRDP代码,鉴于微软并未开放其源代码,所以一套符合RDP协议的代码有利于云终端软件的开发
Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)
热门推荐
Pnoker
08-31 3万+
Microsoft 安全公告 MS12-020 - 严重 远程桌面中的漏洞可能允许远程执行代码 (2671387) 更新程序包 KB2621440 解决 CVE-2012-0002,更新程序包 KB2667402 解决 CVE-2012-0152。如果在受影响的 Microsoft Windows 版本上,CVE-2012-0152 的严重等级低于 KB2621440,则根据 CVE-2012-0002,综合严重等
MS12-020远程桌面代码执行漏洞修复
iokla
01-26 1万+
MS12-020远程桌面代码执行漏洞修复1、漏洞简介2、漏洞验证3、漏洞修复 1、漏洞简介 MS12-020(全称:Microsoft windows远程桌面协议RDP远程代码执行漏洞),远程桌面协议RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。Windows在处理某些对象时存在错误,可通过特制的RDP报文访问未初始化的或已经删除的对象,导致任意代码执行
远程控制——ms12-020漏洞利用(蓝屏攻击)
wwwwyyyrre的博客
04-22 1481
(全称:Microsoft windows远程桌面协议RDP远程代码执行漏洞),远程桌面协议RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。官方补丁地址:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-020
MS12-020(CVE-2012-0002) exp/poc(已测试成功)
weixin_30568591的博客
03-16 647
经过验证,成功造成windows2003 sp2蓝屏 蓝屏代码为: 0x0000008e (0xc0000005, 0xf753888c, 0xbafcf964, 0x00000000) 截图为: 最后是最重要的的POC代码了: 转自(http://bbs.blackbap.org/thread-2419-1-1.html) 注:运行环境为BT5-R1 #!/u...
漏洞分析】CVE2012-0002漏洞分析过程详述
Walter的专栏
07-23 8140
1、漏洞触发 发送攻击脚本后机器蓝屏效果如下: 测试环境:win xp professional sp2    2、ruby脚本源码及分析 #!/usr/bin/env ruby # ms12-020 PoC # NOTE: 本测试脚本基于中国民间流传的ChineseShit而写,并且修正了数据包不符合协议的问题 # Author: Joshua J. Drake(jduck)
中职网络安全2022国赛之MS12020漏洞扫描与利用(CVE-2012-0002
Ba1_Ma0的博客
04-25 5823
简介 我做了一个简单的环境来复现这个漏洞,需要虚拟机环境的可以加我qq:3316735898,有什么不会的也可以问我 1.在MSF工具中用search命令搜索MS12020 RDP拒绝服务攻击模块,将回显结果中的漏洞披露时间作为Flag值(如:2012-10-16)提交 搜索漏洞模块: search ms12-020 时间为: 2012-03-16 2.在MSF工具中调用MS12020 RDP拒绝服务漏洞的辅助扫描模块,将调用此模块的命令作为Flag值提交 use 3.使用set命令设置目标IP,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值