[CVE-2017-8464]Microsoft Windows远程命令执行漏洞复现

fswdnr

版权声明：本文为博主的原创文章，未经博主同意不得转载
前言
　　记录下自己的复现，保留意见

2017年6月13日，微软官方发布编号为CVE-2017-8464的漏洞公告，官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞，分别存在于LNK文件和Windows Search功能中。黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危

概述
　　微软的Patch Tuesday更新发布了多达95个针对Windows、Office、Skype、IE和Edge浏览器的补丁。其中27个涉及远程代码执行，18个补丁被微软设定为严重(Critical)，76个重要(Important)，1个中等(Moderate)。其中，最危险的两个漏洞存在于Windows Search功能和处理LNK文件的过程中。
　　利用第一个漏洞，黑客可以在存在Windows Search服务(WSS)的Windows系统中执行远程代码。要利用此漏洞，攻击者可以向Windows Search 服务发送特制的 SMB 消息，而在WannaCry勒索病毒事件中，黑客同样使用了SMB漏洞。国外媒体BleepingComputer报道称，从今年秋季开始，也就是下一个版本的Windows 10更新（红石3）发布之时，微软计划在绝大部分Windows版本中禁用SMBv1。
　　另一个漏洞存在于LNK文件中的，攻击者可以生成特制的快捷方式从而执行远程代码执行。这类攻击之前曾被用在Stuxnet软件中，几年后被Zero Day Initiative (ZDI)项目发现。
　　微软表示这两个漏洞已经被利用。
漏洞编号CVE-2017-8543
漏洞等级
　　高危(Critical)
影响版本

　　Windows 10
　　Windows 7
　　Windows 8.1
　　Windows RT 8.1
　　Windows Server 2008
　　Windows Server 2008 R2
　　Windows Server 2012
　　Windows Server 2012 R2
　　Windows Server 2016

漏洞详情
　　此RCE漏洞存在于 Windows 搜索处理内存中的对象的环节。攻击者可以利用漏洞控制系统，之后可以安装程序; 查看、更改或删除数据; 或者创建拥有完全用户权限的新帐户。
　　要利用此漏洞，攻击者可以向Windows Search 服务发送特制的 SMB 消息。有目标计算机权限的攻击者可以利用此漏洞来提升权限控制主机。此外，在企业环境下，远程未经身份验证的攻击者可以通过 SMB 连接远程触发此漏洞，然后控制目标计算机。
漏洞编号CVE-2017-8464
漏洞等级
　　严重(Critical)
影响版本

　　Windows 10
　　Windows 7
　　Windows 8.1
　　Windows RT 8.1
　　Windows Server 2008
　　Windows Server 2008 R2
　　Windows Server 2012
　　Windows Server 2012 R2
　　Windows Server 2016

漏洞简介
　　RCE漏洞存在于Windows处理LNK文件的环节。攻击者利用漏洞可以获得与本地用户相同的用户权限。被使用此漏洞攻击时，用户权限较少的账户相较管理员权限的用户受到的影响更小。
　　攻击者可以给受害者一个恶意的LNK 文件和关联的恶意二进制，文件可以存放在可移动磁盘或远程共享中。当用户用 Windows 资源管理器或任何其他能够解析LNK文件的软件，打开此驱动器 （或远程共享） 时，恶意文件就会在目标系统上执行攻击者的代码。
　　值得一提的是，微软昨天也专门为Windows XP和Windows Server 2003发布了安全更新，主要针对先前泄露的NSA入侵工具，我们在修复列表中也找到了CVE-2017-8543的身影。对于Windows XP、 Windows Vista、 Windows 8或Windows Server 2003等微软不再支持的操作系统，修复方案见此。
漏洞复现:

利用原理：

创建恶意快捷方式，包含恶意执行脚本

　　我这里生成两个powshell的后门

如果直接发送的话腾讯会报风险，另外360是不会报detect的

或者放到u盘或者桌面，我这里发给我的小伙伴

即使自己exit掉beacon，过一阵子他会自动init后反连回来

明明打了最新的安全补丁的我自己也会执行......

　　缺点：
　　会有个小黑框
版权声明：本文为博主的原创文章，未经博主同意不得转载 http://www.cnblogs.com/adislj777/p/7027981.html
　　ref:
　　https://threatpost.com/microsoft-patches-two-critical-vulnerabilities-under-attack/126239/  
　　https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
　　https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464
　　https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
　　http://www.freebuf.com/articles/system/137283.html
　　http://bobao.360.cn/learning/detail/3977.html
　　https://www.t00ls.net/thread-40479-1-1.html