Metasploit BlueKeep 漏洞利用教程以及在 VMWare 15 Workstation 里靶机出现蓝屏问题

Metasploit BlueKeep 漏洞利用教程以及VMWare以及在 VMWare 15 Workstation 里靶机出现蓝屏问题

1. 环境配置

虚拟机环境： VMWare 15 Workstation Player

攻击机: Kali 2021
IP: 192.168.10.3

靶机: Windows 7 Professional
IP: 192.168.10.21

在 win7 靶机上打开 远程桌面服务。

2. BlueKeep 在 VMWare 中

Kali 机器“msfconsole”，搜索关键字“BlueKeep”，控制台结果显示两个可用模块。
第一个模块是检查目标机器是否能够进行远程代码执行（RCE），这可用于在互联网上扫描以查找潜在目标。
第二个模块是Metasploit利用BlueKeep漏洞的PoC模块（CVE-2019-0708）。

输入use 1利用第二个漏洞利用脚本。
设置 RHOSTS 为靶机ip 192.168.10.21
设置 LHOST 为攻击机ip 192.168.10.3
设置 target 为 VMWare 15 中的 Win7

在输入exploit运行脚本后，攻击机却并没有get shell。而靶机却出现了蓝屏的情况。如下图：

根据 MalwareTech 的说法，TermDD.sys 是微软补丁被利用后唯一被更新的文件，由软件 BinDiff [1] 识别。

根据 Kevin Beaumont 的说法，BlueKeep 漏洞在他的 11 个远程桌面蜜罐中有 10 个导致 BSOD 错误。 而 ZDNet 的分析师 Dillion 解释说 Metasploit 的 BlueKeep PoC 漏洞利用模块会出现 BSOD 的情况，当目标系统使用微软的 Meltdown CPU 内部补丁时[2]。

在这种情况下，由于 CPU 漏洞 [3]，VMWare 产品正在使用 Meltdown 缓解来保护边信道分析。 同时，Metasploit BlueKeep 漏洞利用模块不支持 Meltdown 内核 [2]，导致 BSOD 错误。

3. 解决方法

使用Virtual Box！

Reference

[1] MalwareTech. 2019. Analysis of CVE-2019-0708 (BlueKeep). [Online]. Available at: https://www.malwaretech.com/2019/05/analysis-of-cve-2019-0708-bluekeep.html

[2] Catalin, C. 2019. BlueKeep exploit to get a fix for its BSOD problem - Microsoft’s Meltdown patch was causing BlueKeep attacks to crash on some systems. [Online]. Available at: https://www.zdnet.com/article/bluekeep-exploit-to-get-a-fix-for-its-bsod- problem/

[3] CodeNotary. 2021. WHAT ́S THE PERFORMANCE IMPACT OF INTEL SPECTRE AND MELTDOWN WITHIN VMWARE ENVIRONMENTS. [Online]. Available at: https:// www.codenotary.com/blog/whats-the-performance-impact-of-intel-spectre-and- meltdown-within-vmware-environments/](https://www.codenotary.com/blog/whats-the- performance-impact-of-intel-spectre-and-meltdown-within-vmware-environments/