关注我们

简单判断是否是cve-2019-0708攻击

LzersLzers 安全文摘 2019-09-16 389106 0

今早一起床,发现cve-2019-0708 exp已经公开。但是作为安服人员,攻击是一回事,应急又是另一大回事。这里就简单来判断受害者机器是否受到了cve-2019-0708攻击。

因为cve-2019-0708这类是溢出类攻击,所以跟ms17-010、ms12-020一样,有一定的几率把机器打蓝屏,这里以蓝屏文件为例作为分析。

首先安装windbg,添加符号表

简单判断是否是cve-2019-0708攻击

set_NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

打开蓝屏文件,我的win7默认在

C:\Windows\Minidump

首先我利用cve-2019-0708把我机器打蓝屏,打开该蓝屏dmp文件,关注debug session time、system uptime,可以看到该机器运行了4分钟,在10:00左右出现蓝屏事件:

简单判断是否是cve-2019-0708攻击

输入

!analyze -v

看到蓝屏代码

简单判断是否是cve-2019-0708攻击

蓝屏代码造成原因:

简单判断是否是cve-2019-0708攻击

关注PROCESS_NAME,代表导致系统蓝屏的进程:

简单判断是否是cve-2019-0708攻击

关注STACK_TEXT,里面有蓝屏出错指令等内容

简单判断是否是cve-2019-0708攻击

FOLLOWUP_IP,错误指令位置

简单判断是否是cve-2019-0708攻击

查看出错驱动,rdpwd.sys,可以通过网上搜索对应漏洞分析文章,查看对用的驱动是否受影响

lmvmRDPWD

简单判断是否是cve-2019-0708攻击

这是ms12-020打的

简单判断是否是cve-2019-0708攻击

这是ms17-010打的

简单判断是否是cve-2019-0708攻击

可见不同的攻击手法得到的蓝屏文件结果不一样的,因此可以通过分析蓝屏文件来判断是否受到了哪种攻击。

文由中国白客联盟

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址