震网三代在metasploit-framework上的复现与利用

震网三代在metasploit-framework上的复现与利用

 

免责声明：本文仅用于信息安全测试，切勿触犯网络安全法。

 

编号：CVE-2017-8464

 

影响版本：Windows 7

Windows 8.1

Windows RT 8.1

Windows 10

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

 

漏洞摘要：震网三代属于LNK文件（快捷方式）远程代码执行漏洞。漏当存在漏洞的电脑被插上包含漏洞利用工具的U盘时，不需要任何额外操作，漏洞攻击程序就可以借此完全控制用户的电脑系统（该漏洞也可能由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击）。

 

漏洞评级：高危。前身为2010年美国破坏伊朗核设施所用的震网病毒。

https://baike.baidu.com/item/震网病毒/3559601?fr=aladdin

 

复现过程：

 

攻击机kali linux x86  IP:10.10.10.128

 

目标机windows 7 sp1 IP:10.10.10.134

 

 

1.将modules/exploits/windows/fileformat中的cve_2017_8464_lnk_rce.rb脚本复制到目录/usr/share/metasploit-framework/modules/exploits/windows/fileformat下，data/exploits中的cve-2017-8464文件夹复制到/usr/share/metasploit-framework/data/exploits中。

 

 

2.打开msfconsole 设置payload 参数，生成lnk文件

 

 

3.设置shell回连

 

4.在目标机中执行生成的lnk文件（若在目标机中插入可移动设备且为自动播放则自行执行文件）

 

5.回连成功，获取目标机shell，进程放在目标机49176端口

 

6.获取目标机操作权限

 

源码zip: https://github.com/rapid7/metasploit-framework/archive/master.zip