微软office远程代码执行漏洞(CVE-2017-11882)复现

微软office远程代码执行漏洞(CVE-2017-11882)复现

 

免责声明:本文仅用于信息安全测试,切勿触犯网络安全法。

 

漏洞介绍:

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第1张图片

参考:http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031

 

 

漏洞影响版本:

 

Office 365    

Microsoft Office 2003      

Microsoft Office 2007 Service Pack 3

Microsoft Office 2010 Service Pack 2

Microsoft Office 2013 Service Pack 1

Microsoft Office 2016

 

原理:

office中编辑公式编辑器时,公式编辑器作为单独的进程,不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。

公式编辑器equation.exe

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第2张图片

打开公式编辑器后任务管理器增加进程

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第3张图片

原理请参见

http://www.freebuf.com/vuls/154462.html

 

本文将在两款非常热门的渗透框架metasploit-framework koadic上复现该漏洞

一、Metasploit-framework上的复现

复现过程:

攻击机: kali linux x64 ip:10.10.10.128

目标机windows 7 sp1 IP:10.10.10.154

Office版本:Office 2010

 

用的脚本是starnightcyberrubypython脚本:

https://github.com/starnightcyber/CVE-2017-11882

1.配置参数(svrhost uripath)

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第4张图片

 

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第5张图片

2.成功生成doc文件

 

3.目标机上双击打开doc

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第6张图片

4.成功回连meterpreter

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第7张图片

 

二、koadic上的复现

msf上的较为类似就直接上图了

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第8张图片

 

 

双击打开回连成功

 微软office远程代码执行漏洞(CVE-2017-11882)复现_第9张图片


缓解措施

 

windows的注册表取消这个模块的注册或更新微软11.14日的补丁。


你可能感兴趣的:(bug)