CVE-2017-8570漏洞是一個邏輯漏洞，利用方法簡單，影響範圍廣。由於該漏洞和三年前的SandWorm（沙蟲）漏洞非常類似，因此我們稱之為“沙蟲”二代漏洞。

編號

CVE-2017-8570

影響版本

Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
 

危害

2017年7月，微軟在例行的月度補丁中修復了多個Microsoft Office漏洞，其中的CVE-2017-8570漏洞為一個邏輯漏洞，利用方法簡單。網上已經出現該漏洞的利用程式碼，影響範圍較廣。

該漏洞為Microsoft Office的一個遠端程式碼執行漏洞。其成因是Microsoft PowerPoint執行時會初始化Script”Moniker物件，而在PowerPoint播放動畫期間會啟用該物件，從而執行sct指令碼（Windows Script Component）檔案。攻擊者可以欺騙使用者執行含有該漏洞的PPT檔案，導致獲取和當前登入使用者相同的程式碼執行許可權。

復現環境

受害者（靶機）

作業系統: windows 7 sp1 x86 Office版本：Office 專業增強版 2016 ip：10.0.0.116

攻擊者

作業系統：Deepin 15.4.1 metasploit版本：v4.14.28-dev ip：10.0.0.103

exp

原作者的github連結掛了，暫時就放在了我的github裡面: https://github.com/tezukanice/Office8570.git

生成惡意檔案

生成惡意PPSX檔案

這裡的10.0.0.103是攻擊者的ip地址

生成反彈shell 的 exe 檔案

LHOST是攻擊者的ip，LPORT這裡設定的是監聽本機的6666埠

這裡注意 當攻擊目標為64位的作業系統的時候，生成的exe得改為:

監聽會話

監聽來自 ppsx 執行反彈 shell

一開始我這邊由於沒有切換到root使用者導致 許可權被拒絕,su切換到root使用者解決問題。

msf 的監聽

同樣，這裡攻擊64位作業系統的時候，得做出如下的調整:

釣魚攻擊

將生成的惡意 Invoice.ppsx 檔案重新命名為:2017showgirl聯絡方式.ppsx 複製到目標靶機 windows7系統。

然後目標一不小心點開了這個ppt檔案的時候:即可在 MSF 反彈 metertprter 的 shell 出來：

後續滲透

截圖

正在看b站小姐姐視訊～～

鍵盤記錄

可以看到win7的主人在搜狗瀏覽器中輸入瞭如下內容:xiao jie jie chinajoy這裡面的<^H> 是刪除鍵 是 回車鍵

上傳檔案

把我們的友情提示上傳到win7系統主人的 電腦桌面上

shell

shell 顧名思義就是shell了，這個命令相當於完全控制了windows的cmd命令列，可以執行任意cmd操作，當然只要許可權足夠大的話。

漏洞修復

及時安裝微軟2017年7月釋出的最新補丁

經得住誘惑，不開啟來歷不明的office檔案如果沒有打補丁的話，其實還有一直比較穩妥的開啟PPT的方法，就是 不用 雙擊 開啟PPT，開啟PPT直接拖動開啟 是不會觸發執行exe程式的:如下圖:

結束語

關於這個漏洞復現，youtube上面已經有一些復現案例了，大家可以去參考學習一下。這篇文章我直接參考的是 backlion 的文章，原標題是:Office CVE-2017-8570 遠端程式碼執行漏洞復現,然後在此基礎上做了些補充，更加小白化一些，希望可以讓小白們輕鬆地入門metasploit。