首页 安全文摘 漏洞分析 正文

简单判断是否是cve-2019-0708攻击

今早一起床,发现cve-2019-0708 exp已经公开。但是作为安服人员,攻击是一回事,应急又是另一大回事。这里就简单来判断受害者机器是否受到了cve-2019-0708攻击。因为cve-2019-0708这类是溢出类攻击,所以跟ms17-010、ms12-020一样,有一定的几率把机器打蓝屏,这里以蓝屏文件为例作为分析。首先安装windbg,添加符号表

今早一起床,发现CVE-2019-0708 exp已经公开。但是作为安服人员,攻击是一回事,应急又是另一大回事。这里就简单来判断受害者机器是否受到了cve-2019-0708攻击。

因为cve-2019-0708这类是溢出类攻击,所以跟ms17-010、ms12-020一样,有一定的几率把机器打蓝屏,这里以蓝屏文件为例作为分析

首先安装windbg,添加符号表

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第1张

set_NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.Microsoft.com/download/symbols

打开蓝屏文件,我的win7默认在

C:\windows\Minidump

首先我利用cve-2019-0708把我机器打蓝屏,打开该蓝屏dmp文件,关注debug Session time、system uptime,可以看到该机器运行了4分钟,在10:00左右出现蓝屏事件:

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第2张

输入

!analyze -v

看到蓝屏代码

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第3张

蓝屏代码造成原因:

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第4张

关注PROCESS_NAME,代表导致系统蓝屏的进程:

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第5张

关注STACK_TEXT,里面有蓝屏出错指令等内容

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第6张

FOLLOWUP_IP,错误指令位置

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第7张

查看出错驱动,rdpwd.sys,可以通过网上搜索对应漏洞分析文章,查看对用的驱动是否受影响

lmvmRDPWD

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第8张

这是ms12-020打的

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第9张

这是ms17-010打的

简单判断是否是cve 2019 0708攻击 cve2019 0708 漏洞分析  第10张

可见不同的攻击手法得到的蓝屏文件结果不一样的,因此可以通过分析蓝屏文件来判断是否受到了哪种攻击。

文由中国白客联盟

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1516.html

相关推荐

看起来这里没有任何东西...

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持