MS Office 漏洞CVE-2017-8759复现

web环境搭建，使用基于nginx+webpy通过fastcgi的方式搭建简单的web服务器。

首先配置fastcgi

        location / {
            root   E:/Python/webpy/www/;
            index  index.html index.htm;
	    include fastcgi_params;
	    fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
	    fastcgi_param PATH_INFO $fastcgi_script_name;
	    fastcgi_pass 127.0.0.1:8008;
        }

创建web目录以及文件，编辑index.py文件，实现web相关请求接口

这里有些文件为其它测试文件，如.swf文件

先启动nginx，然后启动fastcgi

@echo off
rem 8008 is a port in nginx config file nginx.conf as value of fastcgi_pass
echo Start fastcgi...
python index.py 8008 fastcgi
pause

web环境准备好后，开始准备CVE-2017-8759的rft文档了。

下载POC相关文件，下载地址：https://github.com/vysec/CVE-2017-8759

创建HTA脚本文件，目的是打开一个计算器，内容如下：

将脚本命名为test.jpg。

修改下载的POC文件exploit.txt，修改后的内容如下：

将通过mshta.exe执行hta脚本文件test.jpg。

创建RFT文档，打开MS Office 2013，选择插入=>>对象，在弹出的对话框中选择“由文件创建”tab页，如下图所示：

另存为RFT格式的文件，使用UtraEdit打开该文件，找到objdata的位置，如下图所示：

增加objupdate字段，实现打开该文档时在动加载运行这个objclass对象，修改后的内容如下：

具体介绍请参照如下链接：

https://www.mdsec.co.uk/2017/09/exploiting-cve-2017-8759-soap-wsdl-parser-code-injection/

https://www.mdsec.co.uk/2017/04/exploiting-cve-2017-0199-hta-handler-vulnerability/

接下来用WinHex打开POC中的blob.bin文件，将WSDL的值改为自己搭建的服务器的地址：

将该文件的16进制内容转存为文本字符，这我使用自己编写的小工具bin2hex.exe实现，转存结果如下：

再回到UltraEdit打开的RFT文件，用以上转存的文本字符替换掉objdata所在大括号中的内容，然后保存RFT文件。

到此我们完成了所有配置，双击打开该RFT文档，弹出计算器表示漏洞触发成功，最终效果如下：