【漏洞復現】SOAP WSDL解析器代碼注入漏洞(CVE-2017-8759)

原創 Apollooooo 2020-02-20 13:49

 

一、CVE-2017-8759 ——類型:.NET Framework漏洞

https://www.freebuf.com/articles/system/147602.html

 

二、準備

攻擊機:kali-2019    192.168.75.149

靶機:win7_x86(關閉防火牆)    192.168.75.139

 

三、復現過程

1、下載 exp,並將 cmd.hta 和 exploit.txt 文件放到 HTML 目錄下

https://github.com/Lz1y/CVE-2017-8759

 

2、將下載的 .py 文件複製到 kali 中

分別執行下面兩條命令,生成payload ss.rtf + 反彈shell.exe

新打開一個 terminal 窗口打開 msf 用來接收反彈的靶機shell:

回到原來的 terminal 執行下面命令用來監聽 80 端口:

將 ss.rtf 文件發送到靶機點開確定,成功 getshell

來張截圖試試,後滲透不再贅述。

 

>> 很多時候復現不成功是因爲 msf設置反彈shell 和 監聽80端口 這兩步順序執行錯誤。

 

四、技術細節深究

1、原理分析

 

2、腳本分析

 

 

參考:

https://juejin.im/entry/5a39bf4e518825455f2f6c38

 

 

 

 

Apollooooo
發佈了66 篇原創文章 · 獲贊 30 · 訪問量 2萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能裏存在數組下標越界,可以free掉第21個堆指針,而第21個位置對應name的空間 因此,我們可以在name裏僞造一個chunk,fr

haivk 2020-07-05 02:32:56

free_spirit(在棧上爆破一個可以被free的fake_chunk)

free_spirit(在棧上爆破一個可以被free的fake_chunk) 首先檢查一下程序的保護機制 然後,我們用IDA分析一下,功能3存在8字節溢出,將會把v7下面的buf指針覆蓋掉,而覆蓋了buf指針,就能實現任意地址寫。  

haivk 2020-07-05 02:32:56

pwnable_dragon(整數溢出+UAF)

pwnable_dragon(整數溢出+UAF) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,遊戲結束後釋放掉了ptr 也就是釋放掉了v5,而當我們打贏遊戲的時候,又malloc(0x10)並輸入,然後又調用了v5裏面的

haivk 2020-06-12 13:51:16

pwnable_applestore(unlink+局部變量生命週期外引用的漏洞)

pwnable_applestore(unlink+局部變量生命週期外引用的漏洞) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,在checkout函數中,如果v1=7174,則把這個函數裏的臨時節點鏈接到了鏈表當中,這就存

haivk 2020-06-12 13:51:16

de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用)

de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,存在一個非棧上的格式化字符串漏洞,但是關閉了文件描述符1,導致不能輸出,並且printf

haivk 2020-06-12 13:51:16

d3ctf_2019_ezfile(文件流fileno的巧妙利用)

d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能存在UAF 程序裏使用的是write輸出,因此劫持IO_2_1_stdout泄露不了數據。

haivk 2020-06-12 13:51:16

IEE754 shellcode

IEE754 shellcode fixedpoint_plaid_2016的一題,留着備用https://github.com/ispoleet/ctf-writeups/tree/master/plaid_ctf_2016/fixed

haivk 2020-06-12 13:51:16

whctf2017_note_sys(多線程條件競爭漏洞)

whctf2017_note_sys(多線程條件競爭漏洞) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能另啓了一個線程 函數裏休眠了2s,在休眠之前,end_ptr減去了8 在add函數裏,取end_p

haivk 2020-06-12 13:51:16

RCTF2020_nowrite(libc_start_main的妙用+盲注)

RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,檢查一下程序的保護機制 檢測一下沙箱,發現僅能進行open、read、exit操作,write操作都不行。 然後,我們用IDA分析一下,是一個及其簡

haivk 2020-06-12 13:51:16

jarvisoj_guess(下標越界導致盲注)

jarvisoj_guess(下標越界導致盲注) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,轉換的時候沒有檢查flag_hex[2*i]和flag_hex[2*i+1]的值是否向上越界,如果向上越界,我們可以令flag_

haivk 2020-06-12 13:51:16

whctf2017_stackoverflow(glibc任意地址寫一個0字節漏洞利用)

whctf2017_stackoverflow(glibc任意地址寫一個0字節漏洞利用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下 輸入name的功能可以用於地址泄露 在主功能裏,存在一個glibc任意地址寫入一個0字

haivk 2020-06-12 13:51:16

[ZJCTF 2019]Mesage(地址值強制當成指令)

[ZJCTF 2019]Mesage(地址值強制當成指令) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,在edit功能裏沒有檢查index,可以溢出,在任意地址處寫一個堆地址。 那麼,我們就可以把堆地址寫到已存在的堆裏,

haivk 2020-06-12 13:51:16

qwb2019_one(strchr的誤用)

qwb2019_one(strchr的誤用) 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,test功能裏abs函數存在溢出,由此可以造成下標越界,進而可以泄露程序的地址。 在edit功能裏,strchr可以返回字符串結尾

haivk 2020-06-12 13:51:16