0x00簡介:
BlueKeep是一個軟體安全漏洞,它影響使用舊版Microsoft Windows 作業系統的計算機 ; Windows 8和Windows 10不受影響。據說這個漏洞可以被用來啟動自我複制的蠕蟲 惡意軟體。與勒索軟體感染相關的2017年WannaCry攻擊具有破壞性,這種攻擊關閉了全世界的計算機。
BlueKeep于2019年5月釋出了CVE - 2019-0708的常見漏洞和暴露 ID ,也稱為遠端桌面服務遠端執行代碼漏洞。
截至2019年6月1日,近百萬台計算機可能面臨“ 可疑 ”BlueKeep 遠端桌面服務(RDS)遠端執行代碼(RCE)遠端桌面協定(RDP)漏洞的風險。掃描程式以确定特定計算機(或計算機組)是否受到缺陷的影響。Microsoft認為該漏洞“嚴重”,并建議盡快為受影響的系統安裝可用的更新更新檔以緩解漏洞,并在不需要時禁用遠端桌面服務。
0x01:準備工具
1. Raspberry PI3 複制
Essential Packages
1. Wireshark
2. tcpdump
3. bro
4. rdpy
5. tcpick 複制
安裝
第1步:将您的Kali圖像閃存到您的Raspberry PI3,我選擇了這個https://images.offensive-security.com/arm-images/kali-linux-2019.2-rpi3-nexmon.img.xz,我使用了Etcher軟體在Windows環境中重新整理SD卡(簡單快捷)https://www.balena.io/etcher/?ref=etcher_footer
使用Etcher閃爍SD卡
Step2:一旦重新整理,繼續更新/更新所有内容:
#apt-get update && apt-get upgrade && apt-get dist-upgrade 複制
Kali on Raspberry PI 3
Step3:安裝python-rdpy包
#pip install twisted pyopenssl qt4reactor service_identity rsa pyasn1 #pip
install rdpy
#apt-get install python-qt4 複制
Step4:驗證,如果一切正常,應該執行以下指令:
#rdpy-rdpcredsspmitm.py
#rdpy-rdpmitm.py
#rdpy-rssplayer.py
#rdpy-vncscreenshot.py
#rdpy-rdpclient.py
#rdpy-rdphoneypot.py
#rdpy-rdpscreenshot.py
#rdpy-vncclient.py 複制
注意:在Kali Linux上,我收到了Twisted包的一些錯誤, 我修複了以下指令: 複制
#wget -c https://twistedmatrix.com/Releases/Twisted/19.2/Twisted-19.2.0.tar.bz2#bzip2
-d Twisted-19.2.0.tar.bz2
#tar -xvf Twisted-19.2.0。 tar
#python setup.py install 複制
執行rdpy-rdpclient.py和rdpy-rdphoneypot.py
步驟5:建立一個MiTM攻擊并記錄會話(RSS檔案),想法是為入侵者顯示一個可見螢幕(假遠端桌面):
# rdpy-rdpmitm.py -o /root/honeypots_arsenal/ 192.168.1.17 複制
Where 192.168.1.17 is the real Windows Server 2008 IP address with RDP service enable 複制
Start a RDP connection to your localhost or 127.0.0.1 using xfreerdp 複制
# xfreerdp --no-nla 127.0.0.1 複制
To see: 複制
[*] INFO: *******************************************
[*] INFO: * SSL Security selected *
[*] INFO: ******************************************* 複制
記錄RDP會話(RSS檔案)
步驟6:重播使用rdpy-rssplayer.py指令記錄的會話,這是入侵者将看到的記錄(螢幕):
#rdpy-rssplayer.py 20190601025837_127.0.0.1_1.rss
步驟7:運作RDP Honeypot的時間,隻需執行以下指令:
#rdpy-rdphoneypot.py 20190601025837_127.0.0.1_1.rss
執行rdpy-rdphoneypot.py并記錄會話(RSS檔案)
步驟8:使用nmap檢查RDP服務是否在端口3389上偵聽Raspberry PI
#NMAP -F ip
運作nmap檢查RDP服務是在本地監聽
步驟9:設定路由器以通路服務3389(遠端桌面協定)上的入侵者并使用nmap測試RDP服務是否在端口3389上偵聽
NAT / PAT設定橙色路由器
nmap -F(您的IP位址)
運作nmap檢查RDP服務是遠端監聽
步驟10:啟用tcpdump并捕獲到達端口3389的所有流量
#tcpdump tcp port 3389 -i eth0 -vvX -w rdp.pcap
使用tcpdump捕獲端口3389上的流量
資料包分析
Step11 :安裝tcpick,wireshark,bro并執行pcap檔案分析(rdp.pcap)
#apt-get install tcpick
#apt-get install wireshark
#apt-get install cmake make gcc g ++ flex git bison python-dev swig libpcap-dev libssl-dev zlib1g-dev -y
#apt-get install libgeoip-dev -y
# apt-get install libmaxminddb-dev
#apt-get install bro broctl bro-aux -y 複制
使用tcpick進行資料包分析
#tcpick -C -yP -r rdp.pcap | 更多 複制
瞧!
執行tcpick(資料包分析)
步驟12:使用bro檢視深入的人類可讀日志(以下指令将建立日志檔案)
#bro -r rdp.pcap -C
使用bro指令生成可讀的日志
# cat rdp.log | bro-cut id.orig_h id.orig_p id.resp_h id.resp_p cookie result security_protocol keyboard_layout client_build client_name | more 複制
用bro-cut讀取rdp.log檔案
譯文至:https://medium.com/@alt3kx/build-an-easy-rdp-honeypot-with-raspberry-pi-3-and-observe-the-infamous-attacks-as-bluekeep-29a167f78cc1