铁三线下赛-企业赛(cve-2017-11882)总结

这场比赛,可以说很可惜。但是还好,在比赛结束回学校途中,认识了几位大佬,那这场比赛还是值得的,就当是经验积累吧。

开始正文;

企业赛,也就是web题,但是和线上的不一样,这里打的都是cve漏洞,更刺激,更真实,也是最老老实实的,不玩套路,会就是会,不会就学习

这场比赛允许上网,那么这就是考经验了。

企业赛,发的纸条上面只有个ip,什么端口都没有给出来,然后登陆进去,就是一个上传的界面,(这里不能截图,因为线下的都是在本地的)

内容是,请上传工作文档,会有工作人员检查。然后就是上传框,下面是(只能上传txt doc)

一开始以为是一个上传漏洞,然后就尝试上传东西,然后上传doc文件成功,然后就返回一个/upload 

队友打开发现上传的文件在里面,里面还有一些doc文件,还有一些打开了的doc文件(前缀有~),那就尝试将doc文件下载

但是当打开的时候,杀毒软件报毒了,提示cve-2017-11882漏洞

然后就上网查这个漏洞,找poc,看了很多博客,尝试了很多,失败了太多,明白这个漏洞要怎样触发

那时候我的kali的metasploit没有更新,没有cve-2017-11882这个漏洞的exp,那就上GitHub,找博客下载

尝试打一波,

按照思路打一遍,发现没有反应,一开始以为是配置错了,就重新配一次,但是尝试了一个下午,还是没有成功,然后就凉凉了,叫队友也尝试了,也是不行,然后就开始怀疑人生了。。。

比赛结束之后,找了大佬问怎样做,大佬的做法也是cve-2017-11882,但是他一波了,拿了4个flag

和他聊天的时候,他说他问了工作人员,这个bot是会自动打开提交的doc文件的,那就更加证明这个漏洞就是cve-2017-11882了

他还说到,他有叫工作人员重置bot,然后我就想到,我在kali那里一直上传不了doc,会不会是和bot挂了有关系(这是猜测)

 

前面是经过,现在开始在本地复现一次

攻击机:kali  IP:192.168.1.133

靶机:win7 x64  IP:192.168.1.138

office版本:2010

靶机截图:

攻击机截图:

 

这个漏洞要这样打的,先在kali配置好,然后用poc生一个带有恶意代码的doc,将这个doc发给靶机,然后靶机打开,触发漏洞,kali获取到meterpreter

kali设置,我这里用的是GitHub下载的

下载需要的文件(我这里是还原我做题的情况,其实metasploit的那个rb会更好)

我这里一开始下载的rb是这里的https://github.com/starnightcyber/CVE-2017-11882

生成doc的python文件是这里的 https://github.com/Ridter/CVE-2017-11882/  这里有两个python文件,我用的是43b的

将rb文件放在metasploit那些模块下面

然后启动msfconsole

使用模块

set payload

show options

这里只要设置URIPATH 和 LHOST就可以了

set uripath

这个路径要和等下我们生成doc的那个一样 ,详细看生成doc的步骤

set lhost 

再show options

run

上面表示在监听状态了,这个终端不要关,然后就是生成doc文件,重新打开一个终端

使用刚才下载的python文件,我用的是43b那个的

上面图可以看到这里的ip地址是我们的攻击机的,然后然后的端口是刚才那个SRVPORT,后面的test就是那个URIPATH

注意一点,那个靶机的ip我们是不需要的

然后把生成的doc文件拉到win7下面,然后打开(我这里就直接拉过去了,相当于是比赛的自动打开了)

打开了,然后回去看kali

可以看到已经有反弹了

输入sessions -i 1

进入了meterpreter,

到了这里,那就是getshell了,然后就是提权,开远程连接之类的了。

然后就结束了

这里推荐使用metasploit官方的rb文件,会比较方便

链接(使用wget,或者复制也行)

https://raw.githubusercontent.com/realoriginal/metasploit-framework/39a4d193a17c6f85846a58a429c0914f542bded2/modules/exploits/windows/fileformat/office_ms17_11882.rb

 

posted @ 2018-05-05 23:25  捏捏nienie  阅读(348)  评论(0编辑  收藏  举报