指令類型:portrule
Nmap Script指令摘要
檢查機器是否易受 MS12-020 RDP 漏洞影響。
微軟公告 MS12-020 修補了兩個漏洞:CVE-2012-0152 解決了終端服務器內的拒絕服務漏洞,而 CVE-2012-0002 修復了遠程桌面協議中的漏洞。這兩個漏洞都是遠程桌面服務的一部分。
該腳本通過檢查 CVE-2012-0152 漏洞來運行。如果此漏洞未被修補,則假設 CVE-2012-0002 也未被修補。這個腳本在檢查時不會導致目標崩潰。
其工作方式如下:
發送一個用戶請求,服務器以一個用戶 ID(稱之為 A)和該用戶的一個頻道回應。
發送另一個用戶請求,服務器以另一個用戶 ID(稱之為 B)和另一個頻道回應。
發送一個頻道加入請求,請求用戶設置為 A,請求頻道設置為 B。如果服務器回應成功消息,我們得出結論認為服務器是易受攻擊的。
如果服務器易受攻擊,發送一個頻道加入請求,請求用戶設置為 B,請求頻道設置為 B,以防止崩潰的可能性。
參考資料:
Nmap Script指令參數
vulns.short, vulns.showall查看vulns庫的文檔。
Nmap Script指令範例
nmap -sV --script=rdp-vuln-ms12-020 -p 3389 <target>Nmap Script指令輸出
PORT STATE SERVICE VERSION
3389/tcp open ms-wbt-server?
| rdp-vuln-ms12-020:
| VULNERABLE:
| MS12-020 Remote Desktop Protocol Denial Of Service Vulnerability
| State: VULNERABLE
| IDs: CVE:CVE-2012-0152
| Risk factor: Medium CVSSv2: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:N/A:P)
| Description:
| Remote Desktop Protocol vulnerability that could allow remote attackers to cause a denial of service.
|
| Disclosure date: 2012-03-13
| References:
| http://technet.microsoft.com/en-us/security/bulletin/ms12-020
| http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0152
|
| MS12-020 Remote Desktop Protocol Remote Code Execution Vulnerability
| State: VULNERABLE
| IDs: CVE:CVE-2012-0002
| Risk factor: High CVSSv2: 9.3 (HIGH) (AV:N/AC:M/Au:N/C:C/I:C/A:C)
| Description:
| Remote Desktop Protocol vulnerability that could allow remote attackers to execute arbitrary code on the targeted system.
|
| Disclosure date: 2012-03-13
| References:
| http://technet.microsoft.com/en-us/security/bulletin/ms12-020
|_ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0002Nmap Script作者:
Aleksandar Nikolic
License: Same as Nmap--See https://nmap.org/book/man-legal.html
