?Part1 前言?

大家好，上期分享了一篇Shiro Oracle Padding反序列化漏洞無key的實戰(zhàn)文章，這期講一個MS12-020藍屏漏洞的真實利用過程。這個案例源于2013年我在讀研期間，印象是比較深的。在學校期間，我偶爾會幫網(wǎng)絡部那邊處理一些網(wǎng)站故障，還幫忙修補過安全漏洞。在那個年代，大學網(wǎng)站的漏洞是非常多的，基本上沒有什么WAF設備防護。期間有一個大學網(wǎng)站大概是長時間沒有人用，崩潰了，訪問一直是卡死狀態(tài)，服務器密碼學校那邊也不記得了。于是我就來了一頓操作，幫忙恢復了一下，中間也踩了不少坑。首先肯定是要想辦法拿到服務器權限，然后幫學校把密碼讀出來，下面憑著記憶，把過程寫出來。

?Part2?研究過程?

• Web應用層面

首先對這個特殊任務進行分析，首先是Web應用層面上，可以找各種Web漏洞拿權限，比如SQL注入漏洞、上傳漏洞、列目錄漏洞、XSS盲打后臺、找CMS公開或未公開的漏洞、框架漏洞等。但是本次案例中Web應用崩潰了，訪問不了，所以這個思路不適用。

• 中間件層面

Web應用沒法搞，接下來重點看中間件上有沒有可突破的點。從搜索引擎網(wǎng)頁快照上看，大致判斷中間件是IIS6.0。對于IIS中間件，可利用的漏洞有IIS PUT文件上傳、IIS5.0遠程代碼執(zhí)行、HTTP.sys遠程代碼執(zhí)行漏洞（MS15-034）、IIS6.0遠程溢出漏洞（CVE-2017-7269）等。在2013年，那時候IIS6.0中間件還沒有爆出遠程溢出漏洞（CVE-2017-7269），MS15-034這個漏洞沒有能拿權限的exp，IIS中間件也沒有開啟PUT上傳功能，所以是沒辦法直接PUT上傳寫shell。中間件這條路基本上也走不通。

（?下面放一個老工具的圖，懷舊一下，zwell和桂林老兵寫的，在10幾年前檢測IIS漏洞很好用，zwell就是現(xiàn)在goby和fafo搜索引擎的作者）

• 服務器IP層面

中間件IIS也沒有漏洞可利用，那么只能把精力放在服務器層面上了。接下來nmap全端口掃一下服務器IP，看看開放了哪些端口。結果開放了135、139、445、80、3389端口（我處于學校內(nèi)網(wǎng)中，所以445端口是開著的），操作系統(tǒng)識別為Win2003。

接下來分析一下這幾個端口的服務有哪些可利用的漏洞：

135端口：可爆破Administrator的密碼，135端口早年爆出過遠程代碼執(zhí)行漏洞，但是貌似是02年還是03年左右的漏洞了，太老了，沒法利用。我記得那時候很多人流行用135漏洞批量掃IP。

139端口、445端口：這兩個端口都可爆破Administrator的密碼，這里有些讀者可能會想到MS08-067，但是沒那么簡單，因為當時的各種exp我都試過了，打不成功Win2003中文版系統(tǒng)。

（ 放一個老工具的圖，那個年代爆破密碼這個工具特別好用，現(xiàn)在這個工具不行了）。

我試了BackTrack（BackTrack是Kali Linux的前身，那時候名字是BT4還是BT5的，記不清了）里的Metasploit打Win2003的中文系統(tǒng)，根本打不成功。我用Metasploit打Windows2003中文系統(tǒng)就從來沒成功過，打Windows XP系統(tǒng)可以打成功。后期看雪論壇有人放出了MS08-067的適用于中文系統(tǒng)exp，還有很詳細的分析文章，但那是好多年后的事情了，那個exp我后來也測試過，能打成功，但是也不太穩(wěn)定。當時還沒有NSA的方程式工具包泄露，否則很輕易就用MS17-010打下來了。

后來我又下載了國內(nèi)大牛改的MS08-067的exp，對于Win2003系統(tǒng)同樣也打不成功。

（ 放個那時候工具的圖，14年前的老工具了，現(xiàn)在可以用方程式工具包替代 ）

接下來對445端口爆破賬號密碼，445端口爆破密碼要比135、139、3389速度快很多，在內(nèi)網(wǎng)環(huán)境中，有時候一秒就可以破幾百次，掛了一個超大字典，結果沒跑出密碼。

組后只剩下3389端口了，3389服務可以爆破密碼，但是速度是比445要慢太多了。況且剛才445的SMB服務，也沒爆出密碼，所以3389爆破密碼是多余的。

• ?MS12-020藍屏漏洞

這樣貌似就沒辦法了，等到晚上去食堂吃飯，在回來的路上靈光一閃，來思路了！3389的RDP服務不是曾經(jīng)爆出一個漏洞MS12-020嗎？那么干脆用這個漏洞把服務器打藍屏，重啟一下服務器，網(wǎng)站不就恢復正常了嗎？

但是為了謹慎起見，我想到了以下幾個情況：

1、MS12-020藍屏后，Win2003會不會重啟？可別一直卡在那里就不動了。

2、重啟后IIS服務器是不是能自啟動，別重啟后，IIS6.0服務起不來了。

為了確保萬無一失，還是搭建虛擬機環(huán)境測試一下吧，我本地搭建了一個虛擬機環(huán)境，使用Metasploit的MS12-020漏洞攻擊后，藍屏后幾十秒，服務器就重啟了，IIS6.0默認是自啟動的，也可以順利起來。沒有問題，藍屏這個思路可以在實戰(zhàn)中應用。

于是開始實戰(zhàn)了，結果意外出現(xiàn)了，不知道為什么，Metasploit的MS12-020的exp怎么打都不藍屏，打了7、8遍沒打藍屏。

接下來怎么辦，我在想，學校的這種系統(tǒng)很少有打補丁的情況，在當時，大學網(wǎng)站是不太關心網(wǎng)絡安全問題的。想來想去換個exp再試試吧，于是我從網(wǎng)上下載了另一個利用程序，用nc發(fā)一個包過去（當時nc很流行，測試上傳漏洞都是用nc來測試的），結果服務器立馬就藍屏了。藍屏后，服務器自動重啟，部署在IIS上的網(wǎng)站也恢復正常了。

（ 放一個其它工具的圖吧，我清楚地記得當時是用nc載入一個poc文本文件發(fā)包利用成功的，但是工具找不到了，沒法貼圖了 ）

藍屏后是這個樣子，過幾十秒系統(tǒng)會自動重啟，一切自啟動的服務恢復正常。

網(wǎng)站恢復正常后，后續(xù)通過Web應用的后臺上傳漏洞打進去恢復密碼的，都是常規(guī)思路，這里就不多講了。

?Part3 總結?

1.? 虛擬機環(huán)境與實戰(zhàn)環(huán)境是不一樣的，一個漏洞準備多個EXP看來很有必要。

2.? 藍屏漏洞有時候也可以派上用場，具體情況具體分析。在日常紅隊項目中，大家盡量提前跟客戶報備一下，因為現(xiàn)在一個服務器上放的業(yè)務很多，藍屏重啟可能造成不可挽回的損失，這里只是提供一個思路。

3.??Tomcat等中間件在Windows下盡量別用這個方法了，因為很多都是批處理腳本啟動的，重啟后，就起不來了。

專注于紅隊、藍隊技術分享

每周一篇，敬請關注

總結

以上是生活随笔為你收集整理的第7篇：MS12-020蓝屏漏洞在实战中的巧用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。