微软office远程代码执行漏洞（CVE-2017-11882）复现

微软office远程代码执行漏洞（CVE-2017-11882）复现
 
免责声明：本文仅用于信息安全测试，切勿触犯网络安全法。
 
漏洞介绍：
 


参考：http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031
 
 
漏洞影响版本：
 
Office 365    
Microsoft Office 2003      
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
 
原理：
在office中编辑公式编辑器时，公式编辑器作为单独的进程，不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。
公式编辑器equation.exe
 


打开公式编辑器后任务管理器增加进程
 


原理请参见
http://www.freebuf.com/vuls/154462.html
 
本文将在两款非常热门的渗透框架metasploit-framework
和koadic上复现该漏洞
一、Metasploit-framework上的复现
复现过程：
攻击机: kali linux x64 ip:10.10.10.128
目标机windows 7 sp1 IP:10.10.10.154
Office版本：Office 2010
 
用的脚本是starnightcyber的ruby和python脚本：
https://github.com/starnightcyber/CVE-2017-11882
1.配置参数(svrhost uripath)
 


 
 


2.成功生成doc文件
 


3.目标机上双击打开doc
 


4.成功回连meterpreter
 


 
二、koadic上的复现
与msf上的较为类似就直接上图了
 


 


 
双击打开回连成功
 


缓解措施
 
在windows的注册表取消这个模块的注册或更新微软11.14日的补丁。