初入渗透：CVE-2017-0199漏洞复现

1：在 web根目录下/www ： 创建一个1.rtf文件：附上代码

;上是在kali中的服务；

在windows上创空的office；并在里面创建对象

，

这时候会生成一个有test789文字内嵌对象的文档，这是双击该对象只能以rtf文件方式打开对象，并不能执行hta脚本。因为生成对象的时候选中“链接到文件”，所以当打开对象的时候会去服务器上请求http://192.168.1.108/1.rtf来更新对象内容：

此时在apache配置文件conf/mime.types中把

application/rtf rtf

修改成：

application/hta rtf

重启apache2,并且清除IE缓存：

双击对象：弹出计算器和另一种打开方式；

，[再双击对象，此时虽然访问的还是1.rtf文件，但是服务器的Content-type会返回application/hta，而word就以hta脚本的方式打开文件]

poc还是需要用户双击对象进行交互的，那么怎么样才能自动运行对象呢？这里就需要把文件保存成rtf格式::另存为

；这时打开，还会有个和用户交互的框；消除这筐方法：

用记事本打开刚刚rtf文件：找到object标签所在的地方：

把{\object\objautlink\rsltpict修改成：

{\object\objautlink\objupdate\rsltpict

再次打开交互框会慢于网站上脚本的运行：

关键点在于objupdate，这个标签的作用是可以自动更新对象，因此无需用户交互。此时已经可以达到通过hta脚本执行任意代码的目的。

：至于hta脚本就是八仙过海各显神通了

参考(http://blog.csdn.net/aurora__/article/details/73822139)