微软office远程代码执行漏洞(CVE-2017-11882)复现
2017-11-28 00:09
731 查看
微软office远程代码执行漏洞(CVE-2017-11882)复现
免责声明:本文仅用于信息安全测试,切勿触犯网络安全法。
漏洞介绍:
参考:http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031
漏洞影响版本:
Office 365
Microsoft Office 2003
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
原理:
在office中编辑公式编辑器时,公式编辑器作为单独的进程,不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。
公式编辑器equation.exe
打开公式编辑器后任务管理器增加进程
原理请参见
http://www.freebuf.com/vuls/154462.html
本文将在两款非常热门的渗透框架metasploit-framework
和koadic上复现该漏洞
一、Metasploit-framework上的复现
复现过程:
攻击机: kali linux x64 ip:10.10.10.128
目标机windows 7 sp1 IP:10.10.10.154
Office版本:Office 2010
用的脚本是starnightcyber的ruby和python脚本:
https://github.com/starnightcyber/CVE-2017-11882
1.配置参数(svrhost uripath)
2.成功生成doc文件
3.目标机上双击打开doc
4.成功回连meterpreter
二、koadic上的复现
与msf上的较为类似就直接上图了
双击打开回连成功
缓解措施
在windows的注册表取消这个模块的注册或更新微软11.14日的补丁。
免责声明:本文仅用于信息安全测试,切勿触犯网络安全法。
漏洞介绍:
参考:http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031
漏洞影响版本:
Office 365
Microsoft Office 2003
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
原理:
在office中编辑公式编辑器时,公式编辑器作为单独的进程,不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。
公式编辑器equation.exe
打开公式编辑器后任务管理器增加进程
原理请参见
http://www.freebuf.com/vuls/154462.html
本文将在两款非常热门的渗透框架metasploit-framework
和koadic上复现该漏洞
一、Metasploit-framework上的复现
复现过程:
攻击机: kali linux x64 ip:10.10.10.128
目标机windows 7 sp1 IP:10.10.10.154
Office版本:Office 2010
用的脚本是starnightcyber的ruby和python脚本:
https://github.com/starnightcyber/CVE-2017-11882
1.配置参数(svrhost uripath)
2.成功生成doc文件
3.目标机上双击打开doc
4.成功回连meterpreter
二、koadic上的复现
与msf上的较为类似就直接上图了
双击打开回连成功
缓解措施
在windows的注册表取消这个模块的注册或更新微软11.14日的补丁。
相关文章推荐
- Office 远程代码执行漏洞(CVE-2017-11882)复现过程
- CVE-2017-11882复现
- Office隐藏17年的漏洞CVE_2017_11882测试记录
- office漏洞 CVE-2017-11882 msf利用
- CVE-2017-11882复现
- 【漏洞复现】Tomcat CVE-2017-12615 远程代码执行漏洞
- Spring Data REST PATCH请求远程代码执行漏洞(CVE-2017-8046) 本地复现方法
- 学着分析CVE-2017-7269 -- IIS 6.0 WebDAV远程代码执行漏洞
- Tomcat远程代码执行漏洞(CVE-2017-12615)
- MS Office 漏洞CVE-2017-8759复现
- 腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法
- Spring Data REST PATCH请求 远程代码执行漏洞案例(CVE-2017-8046)
- Office远程代码执行漏洞POC样本分析(CVE-2017-11882)
- CVE-2017-8464远程命令执行漏洞复现
- CVE-2017-8464 LNK文件(快捷方式)远程代码执行漏洞复现
- 浅谈一下mshta在CVE-2017-11882里的命令构造
- CVE-2017-8759 复现
- Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass
- Tomcat任意文件上传漏洞CVE-2017-12615复现测试
- 利用CVE-2017-11882漏洞利用的恶意样本分析