本月,微软在例行系统补丁发布中,修复了一个Office远程代码执行的严重漏洞,编号CVE-2017-11882,值得注意的是,该漏洞已潜伏17年之久,影响目前流行的所有Office版本!
漏洞位于EQNEDT32.EXE组件中,该组件于2001年编译嵌入office,之后没有任何进一步的修改。攻击者可以利用漏洞以当前登录的用户身份执行任意命令。接下来,ISEC实验室的老师,将对此漏洞利用过程进行复现,小伙伴们,快上车啦!
一、CVE-2017-11882复现
实验环境:
☛攻击机器操作系统:kali 2.0
☛攻击机器ip:192.168.1.106
☛受害者操作系统:win7 x64
☛受害者ip:192.168.1.6
☛offcie版本:office_professional_plus_2013_with_sp1_x64
首先在kali下使用msf生成后门文件,类型为msi格式,如下图:
将该后门p.exe放到web目录下,同时在web目录下新建hta文件,通过调用Wscript.Shell执行msiexec去运行远程的p.exe,即上一步生成的后门文件,注意msiexec只能执行msi文件,因此在上一步生成的文件类型一定要是msi类型的,至于后缀名无所谓,hta文件如下图:
到https://github.com/Ridter/CVE-2017-11882/下载漏洞利用程序,执行如下命令生成恶意doc文件,这里由于命令长度不能超过43 bytes,因此使用mshta命令去调用远程的hta文件来执行更复杂的操作,如下图:
在msf中使用exploit/multi/handler模块,并设置相应payload参数开启监听,如下图:
在测试机器上使用offcie打开该文档,如下图:
成功返回session,如下图:
由于很多时候需要植入的后门文件类型为exe可执行文件,而非msi格式,例如使用RAT进行测试的时候,生成的后门多为exe,因此可以采用exe转msi方式来实现,例如下图的工具可以将exe可执行文件成功转换为msi文件:
当然这里我们也可以采用powershell方式去下载远程后门来执行,而不采用msiexec方式来执行,这样就不不需要对exe可执行文件进行转换了,修改后的hta文件如下:
最后执行流程如下,首先由mshta调用powershell,再由powershell调用木马程序server.exe:
后门成功上线
二、提醒:请尽快更新相应补丁
Microsoft Office内存破坏漏洞CVE-2017-11882 PoC目前已公开,ISEC实验室建议用户尽快更新相应补丁,同时开启系统安全软件进行防护。
进入链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882,获取CVE-2017-11882补丁
厦门安胜网络科技有限公司,厦门市美亚柏科信息股份有限公司控股子公司,是国内领先的网络安全检测产品及服务提供商;秉承“创新为安,服务致胜”的经营理念,专注于网络安全类产品的生产与服务。
“ISEC实验室”作为公司新技术和新产品的预研基地,秉承“我的安全,我做主”的理念,专注于网络安全领域前沿技术研究,提供网络安全培训、应急响应、安全检测等服务。曾承接北京奥运会、上海世博会、广州亚运会、杭州G20峰会、金砖“厦门会晤”等大型活动网络安全保障工作。
未来,安胜将继续以昂扬的姿态、在网络安全领域不断深耕,为建设网络强国做出更大贡献!
免责声明:本文为厂商推广稿件,企业发布本文的目的在于推广其产品或服务,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用等行为的建议。请读者使用之前核实真实性,以及可能存在的风险,任何后果均由读者自行承担。