0x00简介:
BlueKeep是一个软件安全漏洞,它影响使用旧版Microsoft Windows 操作系统的计算机 ; Windows 8和Windows 10不受影响。据说这个漏洞可以被用来启动自我复制的蠕虫 恶意软件。与勒索软件感染相关的2017年WannaCry攻击具有破坏性,这种攻击关闭了全世界的计算机。
BlueKeep于2019年5月发布了CVE - 2019-0708的常见漏洞和暴露 ID ,也称为远程桌面服务远程执行代码漏洞。
截至2019年6月1日,近百万台计算机可能面临“ 可疑 ”BlueKeep 远程桌面服务(RDS)远程执行代码(RCE)远程桌面协议(RDP)漏洞的风险。扫描程序以确定特定计算机(或计算机组)是否受到缺陷的影响。Microsoft认为该漏洞“严重”,并建议尽快为受影响的系统安装可用的更新补丁以缓解漏洞,并在不需要时禁用远程桌面服务。
0x01:准备工具
1. Raspberry PI3 复制
Essential Packages
1. Wireshark
2. tcpdump
3. bro
4. rdpy
5. tcpick 复制
安装
第1步:将您的Kali图像闪存到您的Raspberry PI3,我选择了这个https://images.offensive-security.com/arm-images/kali-linux-2019.2-rpi3-nexmon.img.xz,我使用了Etcher软件在Windows环境中刷新SD卡(简单快捷)https://www.balena.io/etcher/?ref=etcher_footer
使用Etcher闪烁SD卡
Step2:一旦刷新,继续更新/升级所有内容:
#apt-get update && apt-get upgrade && apt-get dist-upgrade 复制
Kali on Raspberry PI 3
Step3:安装python-rdpy包
#pip install twisted pyopenssl qt4reactor service_identity rsa pyasn1 #pip
install rdpy
#apt-get install python-qt4 复制
Step4:验证,如果一切正常,应该执行以下命令:
#rdpy-rdpcredsspmitm.py
#rdpy-rdpmitm.py
#rdpy-rssplayer.py
#rdpy-vncscreenshot.py
#rdpy-rdpclient.py
#rdpy-rdphoneypot.py
#rdpy-rdpscreenshot.py
#rdpy-vncclient.py 复制
注意:在Kali Linux上,我收到了Twisted包的一些错误, 我修复了以下命令: 复制
#wget -c https://twistedmatrix.com/Releases/Twisted/19.2/Twisted-19.2.0.tar.bz2#bzip2
-d Twisted-19.2.0.tar.bz2
#tar -xvf Twisted-19.2.0。 tar
#python setup.py install 复制
执行rdpy-rdpclient.py和rdpy-rdphoneypot.py
步骤5:创建一个MiTM攻击并记录会话(RSS文件),想法是为入侵者显示一个可见屏幕(假远程桌面):
# rdpy-rdpmitm.py -o /root/honeypots_arsenal/ 192.168.1.17 复制
Where 192.168.1.17 is the real Windows Server 2008 IP address with RDP service enable 复制
Start a RDP connection to your localhost or 127.0.0.1 using xfreerdp 复制
# xfreerdp --no-nla 127.0.0.1 复制
To see: 复制
[*] INFO: *******************************************
[*] INFO: * SSL Security selected *
[*] INFO: ******************************************* 复制
记录RDP会话(RSS文件)
步骤6:重播使用rdpy-rssplayer.py命令记录的会话,这是入侵者将看到的记录(屏幕):
#rdpy-rssplayer.py 20190601025837_127.0.0.1_1.rss
步骤7:运行RDP Honeypot的时间,只需执行以下命令:
#rdpy-rdphoneypot.py 20190601025837_127.0.0.1_1.rss
执行rdpy-rdphoneypot.py并记录会话(RSS文件)
步骤8:使用nmap检查RDP服务是否在端口3389上侦听Raspberry PI
#NMAP -F ip
运行nmap检查RDP服务是在本地监听
步骤9:设置路由器以访问服务3389(远程桌面协议)上的入侵者并使用nmap测试RDP服务是否在端口3389上侦听
NAT / PAT设置橙色路由器
nmap -F(您的IP地址)
运行nmap检查RDP服务是远程监听
步骤10:启用tcpdump并捕获到达端口3389的所有流量
#tcpdump tcp port 3389 -i eth0 -vvX -w rdp.pcap
使用tcpdump捕获端口3389上的流量
数据包分析
Step11 :安装tcpick,wireshark,bro并执行pcap文件分析(rdp.pcap)
#apt-get install tcpick
#apt-get install wireshark
#apt-get install cmake make gcc g ++ flex git bison python-dev swig libpcap-dev libssl-dev zlib1g-dev -y
#apt-get install libgeoip-dev -y
# apt-get install libmaxminddb-dev
#apt-get install bro broctl bro-aux -y 复制
使用tcpick进行数据包分析
#tcpick -C -yP -r rdp.pcap | 更多 复制
瞧!
执行tcpick(数据包分析)
步骤12:使用bro查看深入的人类可读日志(以下命令将创建日志文件)
#bro -r rdp.pcap -C
使用bro命令生成可读的日志
# cat rdp.log | bro-cut id.orig_h id.orig_p id.resp_h id.resp_p cookie result security_protocol keyboard_layout client_build client_name | more 复制
用bro-cut读取rdp.log文件
译文至:https://medium.com/@alt3kx/build-an-easy-rdp-honeypot-with-raspberry-pi-3-and-observe-the-infamous-attacks-as-bluekeep-29a167f78cc1