新闻快讯
< >

独家!隐藏17年的Office高危漏洞复现(CVE-2017-11882)

本月,微软在例行系统补丁发布中,修复了一个Office远程代码执行的严重漏洞,编号CVE-2017-11882,值得注意的是,该漏洞已潜伏17年之久,影响目前流行的所有Office版本!

fengmian.jpg

漏洞位于EQNEDT32.EXE组件中,该组件于2001年编译嵌入office,之后没有任何进一步的修改。攻击者可以利用漏洞以当前登录的用户身份执行任意命令。接下来,ISEC实验室的老师,将对此漏洞利用过程进行复现,小伙伴们,快上车啦!

一、CVE-2017-11882复现

实验环境:

攻击机器操作系统:kali 2.0

攻击机器ip:192.168.1.106

受害者操作系统:win7 x64

受害者ip:192.168.1.6

offcie版本:office_professional_plus_2013_with_sp1_x64

1、首先在kali下使用msf生成后门文件,类型为msi格式,如下图:

1.png

2、将该后门p.exe放到web目录下,同时在web目录下新建hta文件,通过调用Wscript.Shell执行msiexec去运行远程的p.exe,即上一步生成的后门文件,注意msiexec只能执行msi文件,因此在上一步生成的文件类型一定要是msi类型的,至于后缀名无所谓,hta文件如下图:

2.png

3、到https://github.com/Ridter/CVE-2017-11882/下载漏洞利用程序,执行如下命令生成恶意doc文件,这里由于命令长度不能超过43 bytes,因此使用mshta命令去调用远程的hta文件来执行更复杂的操作,如下图:

3.png

4、在msf中使用exploit/multi/handler模块,并设置相应payload参数开启监听,如下图:

4.png

5、在测试机器上使用offcie打开该文档,如下图:

5.png

6、成功返回session,如下图:

6.png

7、由于很多时候需要植入的后门文件类型为exe可执行文件,而非msi格式,例如使用RAT进行测试的时候,生成的后门多为exe,因此可以采用exe转msi方式来实现,例如下图的工具可以将exe可执行文件成功转换为msi文件:

7.png

8、当然这里我们也可以采用powershell方式去下载远程后门来执行,而不采用msiexec方式来执行,这样就不不需要对exe可执行文件进行转换了,修改后的hta文件如下:

8.png

9、最后执行流程如下,首先由mshta调用powershell,再由powershell调用木马程序server.exe:

9.png

10、后门成功上线

10.png

二、提醒:请尽快更新相应补丁

Microsoft Office内存破坏漏洞CVE-2017-11882 PoC目前已公开,ISEC实验室建议用户尽快更新相应补丁,同时开启系统安全软件进行防护。