CVE-2017-8759完美复现(另附加hta+powershell弹框闪烁解决方案)首席安全官频道

*本文原创作者 Lz1y,首席安全官频道本位属于 FreeBuf 原创奖励计划,禁止转载

CVE-2017-8759 是前几天出的 0 DAY ,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199 更难防御。

漏洞成因分析:

360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警

FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY

本人尝试了下复现,的确有很多坑!国外的大牛们也没有把利用方式说的很完善。

利用的文件:

本人整理的:

https://github.com/Lz1y/CVE-2017-8759

文件分别来自:

https://github.com/Voulnet/CVE-2017-8759-Exploit-sample

https://github.com/vysec/CVE-2017-8759

这次的攻击文件:cmd.hta exploit.txt  blob.bin

PS:cmd.hta中嵌入了VBS脚本,可以根据自己的需求更改内容(可以使用powershell直接下载并运行木马,也可以使用Windows中的bitsadmin下载木马运行)

我整理的HTA文件已经处理过啦~不会有HTA的白色闪烁,以及powershell的蓝色弹框。本机测试完全无任何怀疑点

然后将cmd.hta改名为cmd.jpg,并且修改当中的:80为你的攻击IP

将exploit.txt中的的URL同样修改成你的IP

利用工具:Cobal Strike,Office 2013,C32

选择Cobal Strike的原因是,因为这个漏洞需要搭建web服务,而Cobal Strike丰富的钓鱼模块正好满足了我们的需求

漏洞利用过程

首先,打开Cobal Strike

打开一个Listener(Cobal Strike = > Listener => add

添加一个HTTPS的监听器,端口为443

然后Attacks=>Web Drive-by=> HOST file

CVE-2017-8759完美复现

CVE-2017-8759完美复现

切记Mime设置为HTA,Launch

接着再来一次Attacks=>Web Drive-by=> HOST file

CVE-2017-8759完美复现

CVE-2017-8759完美复现

接下来生成木马 Attacks=>Web Drive-by=> Script Web Delivery

CVE-2017-8759完美复现


CVE-2017-8759完美复现


点击Attacks=>Web Drive-by=> mange

查看当前的web页面~

CVE-2017-8759完美复现


CVE-2017-8759完美复现


接下来就是制作钓鱼文档

打开office,本人装的是win7,所以是office2013.不过这个洞跟office版本没啥关系,在WPS中用户如果双击了图块,也是会造成漏洞的。

CVE-2017-8759完美复现

CVE-2017-8759完美复现

插入对象

设置如下

CVE-2017-8759完美复现

 

CVE-2017-8759完美复现

 

点击确定。另存为Doc3.rtf。注意!!!是rtf格式!!!不然后面步骤会失败!!!!!!

使用编辑器打开Doc3.rtf。找到{\object\objautlink\rsltpict\objw4321\objh4321{\*\objdata 

这一部分,修改为{\object\objupdate\objautlink\rsltpict\objw4321\objh4321

可以让文档自动加载payload~

然后C32打开blob.bin找到以下这一区

CVE-2017-8759完美复现

CVE-2017-8759完美复现

修改十六进制部分,改为{攻击IP}/exploit.txt

我就改成

然后全选,反键拷贝为HEX格式化

替换Doc3.rtf中的

CVE-2017-8759完美复现


CVE-2017-8759完美复现


替换掉objdata一直到}{\result 中间的所有十六进制数据

然后保存,这样子攻击文档就制作好了~

接下来将文档发送给目标

目标点击后

CVE-2017-8759完美复现


CVE-2017-8759完美复现


无需点击是否

CVE-2017-8759完美复现


CVE-2017-8759完美复现



得到了session~

因为修改了HTA部分,所以是不存在弹框闪烁的问题(可能会被杀软检测到),目前这个0day影响还是很大的。没有打补丁的小伙伴记得修复哦~

动图(无弹框):

CVE-2017-8759完美复现

CVE-2017-8759完美复现

参考来源:

#Blog:

#Team: Cola-Lab

*本文原创作者 Lz1y,本位属于 FreeBuf 原创奖励计划,禁止转载

2017-09-19 13:06 阅读:563