微软office远程代码执行漏洞（CVE-2017-11882）复现

微软office远程代码执行漏洞（CVE-2017-11882）复现

 

免责声明：本文仅用于信息安全测试，切勿触犯网络安全法。

 

漏洞介绍：

 

参考：http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031

 

 

漏洞影响版本：

 

Office 365    

Microsoft Office 2003      

Microsoft Office 2007 Service Pack 3

Microsoft Office 2010 Service Pack 2

Microsoft Office 2013 Service Pack 1

Microsoft Office 2016

 

原理：

在office中编辑公式编辑器时，公式编辑器作为单独的进程，不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。

公式编辑器equation.exe

 

打开公式编辑器后任务管理器增加进程

 

原理请参见

http://www.freebuf.com/vuls/154462.html

 

本文将在两款非常热门的渗透框架metasploit-framework 和koadic上复现该漏洞

一、Metasploit-framework上的复现

复现过程：

攻击机: kali linux x64 ip:10.10.10.128

目标机windows 7 sp1 IP:10.10.10.154

Office版本：Office 2010

 

用的脚本是starnightcyber的ruby和python脚本：

https://github.com/starnightcyber/CVE-2017-11882

1.配置参数(svrhost uripath)

 

 

 

2.成功生成doc文件

 

3.目标机上双击打开doc

 

4.成功回连meterpreter

 

 

二、koadic上的复现

与msf上的较为类似就直接上图了

 

 

 

双击打开回连成功

 

缓解措施

 

在windows的注册表取消这个模块的注册或更新微软11.14日的补丁。