「震網三代」（CVE-2017-8464）的幾種利用方法與防範

早在6月13日，微軟發布補丁修復編號為CVE-2017-8464的漏洞，本地用戶或遠程攻擊者可以利用該漏洞生成特製的快捷方式，並通過可移動設備或者遠程共享的方式導致遠程代碼執行，追溯到以前，NSA就承認利用過相似漏洞且以「Olympic Game」為代號研發震網病毒，來阻止伊朗發展核武。

CVE-2017-8464漏洞影響版本：

Windows 7

Windows 8.1

Windows RT 8.1

Windows 10

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

利用

1）在Metasploit-Framework中利用CVE-2017-8464

1.首先下載最新的zip包【點此下載】，下載完成後將壓縮包內modules/exploits/windows/fileformat中的cve_2017_8464_lnk_rce.rb複製到目錄/usr/share/metasploit-framework/modules/exploits/windows/fileformat下。

2.僅複製rb文件會出錯，須再將壓縮包內data/exploits中的cve-2017-8464文件夾複製到/usr/share/metasploit-framework/data/exploits中。

3.打開終端

msfconsole

exploit

之後/root/.msf4/local中就會生成我們想要的文件了，生成這麼多和盤符有關，都留著也不佔地方。

4.繼續輸入命令

use multi/handler

run

5.將可移動磁碟插入靶機中，如果靶機開啟了自動播放，選擇瀏覽文件時即可回彈。

演示：

*2）PowerShell

這個使用Powershell的方法並非先前網路上流傳的CVE-2017-8464復現方法。

首先下載Export-LNKPwn.ps1

<點擊閱讀原文查看該文件>

注意：

-需要4.0或以上.NET庫版本，作者使用了一些只有PowerShell 5.0才有的構造函數（如new()），他打算將版本要求降低到.NET 3.5 和PowerShell 2.0，這樣的話模塊在所有目標環境中都能被載入內存。

-作者想拓展函數，讓用戶可以生成原始的震網LNK exp（CVE-2010-2568），並解決繞過問題（CVE-2015-0096）.

-殺毒軟體會處理你的LNK，多準備來躲避檢測！

參數說明：

LNKOutPath：本地保存LNK文件的全路徑。

TargetCPLPath：本地/遠程目標cpl的全路徑。

Type：所使用的FolderDataBlock類型，有「SpecialFolderDataBlock」和「KnownFolderDataBlock」兩種。

使用示例：

C:PS> Export-LNKPwn -LNKOutPath C:SomeLocalPath.lnk -TargetCPLPath C:TargetCPLPath.cpl -Type SpecialFolderDataBlock

C:PS> Export-LNKPwn -LNKOutPath C:SomeLocalPath.lnk -TargetCPLPath C:TargetCPLPath.cpl -Type KnownFolderDataBlock

演示視頻：

3）Python腳本

使用較為方便，點擊閱讀原文查看。

C）防範

1.及時打上相應補丁【點擊文末的閱讀原文查看詳情】

2.關閉USB自動播放

3.安裝殺毒軟體

*參考來源：github，metasploit-framework，github，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！