指令類型:portrule
指令摘要
檢查機器是否易受MS12-020 RDP漏洞影響。
微軟公告MS12-020修補了兩個漏洞:CVE-2012-0152解決了終端服務器內的拒絕服務漏洞,而CVE-2012-0002修復了遠程桌面協議中的漏洞。這兩個漏洞都是遠程桌面服務的一部分。
該腳本通過檢查CVE-2012-0152漏洞來工作。如果此漏洞未被修補,則假設CVE-2012-0002也未被修補。這個腳本在檢查時不會導致目標崩潰。
其工作方式如下:
發送一個用戶請求。服務器以一個用戶ID(稱之為A)和該用戶的一個頻道回應。
發送另一個用戶請求。服務器以另一個用戶ID(稱之為B)和另一個頻道回應。
發送一個頻道加入請求,請求用戶設置為A,請求頻道設置為B。如果服務器回應成功消息,我們得出結論認為服務器是易受攻擊的。
如果服務器易受攻擊,發送一個頻道加入請求,請求用戶設置為B,請求頻道設置為B,以防止崩潰的可能性。
參考資料:
原始檢查由Worawit Wang (sleepya)進行。
指令參數
vulns.short, vulns.showall查看vulns庫的文檔。
指令範例
nmap -sV --script=rdp-vuln-ms12-020 -p 3389 <target>指令輸出
PORT STATE SERVICE VERSION
3389/tcp open ms-wbt-server?
| rdp-vuln-ms12-020:
| VULNERABLE:
| MS12-020 Remote Desktop Protocol Denial Of Service Vulnerability
| State: VULNERABLE
| IDs: CVE:CVE-2012-0152
| Risk factor: Medium CVSSv2: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:N/A:P)
| Description:
| Remote Desktop Protocol vulnerability that could allow remote attackers to cause a denial of service.
|
| Disclosure date: 2012-03-13
| References:
| http://technet.microsoft.com/en-us/security/bulletin/ms12-020
| http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0152
|
| MS12-020 Remote Desktop Protocol Remote Code Execution Vulnerability
| State: VULNERABLE
| IDs: CVE:CVE-2012-0002
| Risk factor: High CVSSv2: 9.3 (HIGH) (AV:N/AC:M/Au:N/C:C/I:C/A:C)
| Description:
| Remote Desktop Protocol vulnerability that could allow remote attackers to execute arbitrary code on the targeted system.
|
| Disclosure date: 2012-03-13
| References:
| http://technet.microsoft.com/en-us/security/bulletin/ms12-020
|_ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0002作者:
Aleksandar Nikolic
License: Same as Nmap--See https://nmap.org/book/man-legal.html
隨選即看研討會
延伸閱讀
CyberScope Nmap 滲透測試手持式網路分析儀,整合了 Nmap 功能,為站點存取層提供全面的網路安全風險評估、分析、和報告——包括所有的端點和網路探索、有線與無線網路安全、漏洞評估 (Nmap) 以及網段和設定驗證;IT 人員透過單一工具以及單一介面,即可快速且即時的掌握企業或組織的各種混合式網路環境 (有線、無線、PoE)、各種連網終端裝置的拓樸、架構、設定、網段、效能、直到網路安全評估。