微软office远程代码执行漏洞(CVE-2017-11882)复现
免责声明:本文仅用于信息安全测试,切勿触犯网络安全法。
漏洞介绍:
参考:http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031
漏洞影响版本:
Office 365
Microsoft Office 2003
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
原理:
在office中编辑公式编辑器时,公式编辑器作为单独的进程,不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。
公式编辑器equation.exe
打开公式编辑器后任务管理器增加进程
原理请参见
http://www.freebuf.com/vuls/154462.html
本文将在两款非常热门的渗透框架metasploit-framework 和koadic上复现该漏洞
一、Metasploit-framework上的复现
复现过程:
攻击机: kali linux x64 ip:10.10.10.128
目标机windows 7 sp1 IP:10.10.10.154
Office版本:Office 2010
用的脚本是starnightcyber的ruby和python脚本:
https://github.com/starnightcyber/CVE-2017-11882
1.配置参数(svrhost uripath)
2.成功生成doc文件
3.目标机上双击打开doc
4.成功回连meterpreter
二、koadic上的复现
与msf上的较为类似就直接上图了
双击打开回连成功
缓解措施
在windows的注册表取消这个模块的注册或更新微软11.14日的补丁。