震网三代在metasploit-framework上的复现与利用
免责声明:本文仅用于信息安全测试,切勿触犯网络安全法。
编号:CVE-2017-8464
影响版本:Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
漏洞摘要:震网三代属于LNK文件(快捷方式)远程代码执行漏洞。漏当存在漏洞的电脑被插上包含漏洞利用工具的U盘时,不需要任何额外操作,漏洞攻击程序就可以借此完全控制用户的电脑系统(该漏洞也可能由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击)。
漏洞评级:高危。前身为2010年美国破坏伊朗核设施所用的震网病毒。
https://baike.baidu.com/item/震网病毒/3559601?fr=aladdin
复现过程:
攻击机kali linux x86 IP:10.10.10.128
目标机windows 7 sp1 IP:10.10.10.134
1.将modules/exploits/windows/fileformat中的cve_2017_8464_lnk_rce.rb脚本复制到目录/usr/share/metasploit-framework/modules/exploits/windows/fileformat下,data/exploits中的cve-2017-8464文件夹复制到/usr/share/metasploit-framework/data/exploits中。
2.打开msfconsole 设置payload 参数,生成lnk文件
3.设置shell回连
4.在目标机中执行生成的lnk文件(若在目标机中插入可移动设备且为自动播放则自行执行文件)
5.回连成功,获取目标机shell,进程放在目标机49176端口
6.获取目标机操作权限
源码zip: https://github.com/rapid7/metasploit-framework/archive/master.zip