本文轉自 玄魂工作室成員--榮傑 的訂閱號”壞代碼分析日記“，歡迎關注

0x00 CVE-2018-8420腳本分析

0x01 Cve-2018-8420+Cve-2018-4878釣魚

0x02 CVE-2018-8420的poc用java自動化生成

0x00 CVE-2018-8420腳本分析

poc下載地址：

https://github.com/Theropord/CVE-2018-8420.git

涉及語言學習：

學習腳本：

http://www.w3school.com.cn/vb/func_createobject.asp

https://blog.csdn.net/Johnny_Timmy/article/details/80408997

http://www.runoob.com/dom/prop-document-async.html

釣魚頁面腳本分析：

一 .html代碼分析

1）sub Grgtest() //vbs的子程序，沒有返回值，聲明Grgtest()函數

2）Set XML=CreateObject("Microsoft.XMLDOM") //將創建一個Microsoft.XMLDOM類型對象並且值賦值給變量

3）xml.sync = False

transformNode()

二 .vbs腳本分析

三 .xml腳本分析

3.1創建一個 對象：

所有現代瀏覽器（IE7+、Firefox、Chrome、Safari 和 Opera）都有內建的 對象。

創建 對象的語法： var 變量 = new ();

爲了讓poc兼容老版本ie遊覽器：

1）Var 變量 = new ActiveXObject("Microsoft.XMLHTTP");

2）如何調用後門： 變量.run(“exe文件/路徑/url遠程下載“);

3）簡化一下：var 變量 = new ActiveXObject(“Microsoft.XMLHTTP”).run(“後門”);

3.2 Microsoft發行j用於internet explorer，因爲cve-2018-8420需要在ie上管用，ie識別j，其他遊覽器不識別：

<ms: implements-prefix="user" language="J">

3.3 漏洞是因爲解析器不識別解析造成的

所以需要xml關於解析器CDATA的知識點連接：

http://www.w3school.com.cn/xml/xml_cdata.asp

https://www.cnblogs.com/catgatp/p/6403382.html

被<![CDATA[]]>這個標記所包含的內容將表示爲純文本

使用<![CDATA[]]>來包含不被xml解析器解析的內容

構造payload：

+--------------------------------------------------------------+

<![CDATA[

var 變量 = new ActiveXObject("W.Shell").Run("calc.exe");]]>

+--------------------------------------------------------------+

3.4j與java關係

我的理解是:

這是兩種語言，語法功能一樣，java是j的子集。

java使用所有遊覽器，

j單獨適用於ie

參開：

https://blog.csdn.net/edwardq2266/article/details/2304564

https://blog.csdn.net/zhaoxiaoyang5156/article/details/1654776

學習j和java連接：

http://www.php.cn/manual/view/14973.html

0x01 Cve-2018-8420+Cve-2018-4878釣魚

8420的poc：

修改xml地方：

調用Microsoft Office組建C:Microsoft OfficeOffice12WINWORD.EXE

把嵌入cve-2018-4878漏洞的swf嵌入office中，通過點擊html的Cve-2018-8420漏洞打開惡意office。

0x02 CVE-2018-8420的poc用java自動化生成

腳本一下篇更新，發佈時發現代碼需要進一步優化下。

-------------------------------------------------------------

【實戰】利用雞肋上傳點配合beef劫持遊覽器權限